Académique Documents
Professionnel Documents
Culture Documents
Managementdesrisques S e A D T PDF
Managementdesrisques S e A D T PDF
Éditions d’Organisation
Groupe Eyrolles
61, bd Saint-Germain
75240 Paris Cedex 05
www.editions-organisation.com
www.editions-eyrolles.com
Nous espérons que cet ouvrage vous permettra de construire, avec la plus grande
efficacité, le dispositif de risk management de votre entreprise.
PREMIÈRE PARTIE
☞
Points communs entre Points spécifiques
réglementations
8e directive
Sarbanes-Oxley LSF
européenne
Méthodologie de référence
Aucune méthodologie
Mise en exergue de
commune Pas de méthodologie AMF préconisant la
l’environnement du
à ce jour commune méthodologie de
contrôle interne et du
Convergence Groupe de travail en l’IFACI, de l’IIA, du
comportement risk
potentielle place Medef, de l’Afep
assessment
à terme vers le COSO
(Source : Sarbanes Oxley Act, LSF, 8e directive européenne sur l’audit légal.)
Les entreprises mettant en œuvre les plus grandes quantités de substances dangereuses,
dites « Seveso II seuils hauts », font l’objet d’une attention particulière de l’État :
• les dangers doivent être clairement identifiés (y compris les effets domino) et l’ana-
lyse des risques doit être réalisée ;
• leur exploitant doit définir une politique de prévention des accidents majeurs et
mettre en place un système de gestion de la sécurité pour son application ;
• des mesures techniques de prévention, élaborées par les inspecteurs des installa-
tions classées sur la base d’études de dangers, leur sont imposées par arrêtés préfec-
toraux dans le cadre d’une procédure d’autorisation ;
• un programme d’inspection est planifié par l’inspection des installations classées ;
• des plans d’urgence sont élaborés pour faire face à un accident : POI (plan d’opé-
ration interne) mis en œuvre par les exploitants, et PPI (plan particulier d’inter-
vention) mis en œuvre par le préfet en cas d’accident débordant les limites de
l’établissement ;
• une information préventive des populations concernées doit être organisée ;
• enfin, à l’intérieur des zones de risques définies par l’État, les communes sont tenues
de prendre en compte l’existence de ces risques pour leur urbanisation future.
Les entreprises dites « Seveso II seuils bas » ont des contraintes moindres, mais doivent
élaborer une politique de prévention des accidents majeurs. La conformité avec un tel
dispositif présuppose la construction, à titre préventif, d’outils de gestion de crise envi-
ronnementale (plan d’urgence ; communication de crise, cellule de crise et plan de
reprise d’activité des processus critiques suite à atteinte à l’environnement).
© Groupe Eyrolles
Chapitre 2
Méthodologie d’identification
et d’analyse des risques
L’identification rationnelle et objective des risques de sinistralité est basée sur la
réponse à quatre types d’interrogations :
• Quels sont les outils permettant une identification objective des risques ?
• Comment évaluer l’impact d’un sinistre majeur sur les objectifs stratégiques ?
• Comment évaluer les conséquences financières d’un sinistre majeur ?
• Quels enseignements tirer de l’évolution de la sinistralité antérieure ?
documentaires avec les informations collectées via les interviews et la visite de sites.
En phase post-mission (rédaction du rapport), le risk manager préconisera ; compte
tenu de ses conclusions, un certain nombre d’ajustements concernant les informa-
tions qu’il a collectées en phase initiale (modifications de clauses contractuelles,
renégociation des clauses assurance, consultation du marché assurance, etc.).
20 Partie 1 – Contraintes réglementaires et méthodologies
RISQUES OPERATIONNELS
Commercial Exploitation Finance RH
• Stratégie • Outil industriel • Risques de marchés • Gestion compétences et savoir
• Satisfaction clients / Services • Outil de distribution (change, taux, prix matière) • Évaluation / Motivation
• Qualité Produit / Santé Produit • Sous-traitance • Financement / Trésorerie • Gestion administrative
• Gestion commerciale • Conformité réglementaire • Fiscalité/ Douanes • Climat / Relations sociales
• Maîtrise coûts de production • Assurance • Santé des employés
• Comptabilité
Entretiens
La technique d’entretien s’avère être une technique essentielle à l’identification
objective et rationnelle des risques, et ce, tout particulièrement en culture d’entre-
prise latine.
L’objectif de cet entretien est : d’une part, de s’assurer de la connaissance par les
opérationnels des dispositifs de risk management mis en œuvre par l’entreprise ;
d’autre part, d’évaluer avec eux les risques potentiels qui pourraient affecter les
processus métiers et les risques du groupe.
L’interview se déroule en trois grandes étapes.
Analyse du passé
Le risk manager interviewe l’audité sur les cas de sinistres ou de gestion de crise qu’il
a été amené à vivre dans le passé en adoptant un questionnement du type :
« Avez-vous été amené à vivre dans le passé une situation de crise ? Si oui, quels
sont, de votre point de vue, les dispositifs mis effectivement en œuvre par le groupe
© Groupe Eyrolles
Visites de site
La visite de site est un outil essentiel en termes d’identification des risques. Elle
permet par exemple d’observer les attitudes et les comportements des salariés en
matière de respect des consignes de sécurité. Elle permet, d’autre part, à l’auditeur
d’observer des dysfonctionnements ou des anomalies concernant l’organisation de
l’entreprise pouvant générer des dommages potentiels.
Elle permet aussi de réactualiser des éléments liés à l’audit documentaire (exemple
d’un plan de masse ne correspondant plus à la configuration réelle actuelle du site).
© Groupe Eyrolles
Questionnaires
L’identification des risques à partir des questionnaires est très utilisée dans les organi-
sations anglo-saxonnes et présuppose l’existence d’un dispositif de risk management
mûr et efficace.
Ch. 2 – Méthodologie d’identification et d’analyse des risques 23
Impact d’un sinistre majeur sur les objectifs stratégiques d’un groupe
© Groupe Eyrolles
L’objectif du risk management consiste donc à tout mettre en œuvre à titre préventif
pour prévenir le risque ; mais, ce dernier avéré, le groupe doit mettre en place un
cement, mais aussi des biens confiés ou des actifs qu’on lui a transférés dans le cadre
d’un contrat de concession ou d’affermage ;
• soit l’entreprise est en IFRS (International Financial Reporting Standard) et a opté
pour la réévaluation des actifs et, dans ce cas, la valorisation des actifs au prix du
marché sert de base à l’estimation des pertes matérielles.
Ch. 2 – Méthodologie d’identification et d’analyse des risques 25
Dans les deux cas de figure, l’estimation des pertes matérielles se fait en multipliant la
valeur des capitaux par une estimation du pourcentage de destruction de l’actif.
sinistres majeurs ;
• définit la stratégie de continuité de ses activités critiques après sinistre ;
• met en place les solutions de continuité pertinentes et les documente ;
Ch. 3 – Modalités de mise sous contrôle des risques 31
• teste ses dispositifs, les maintient opérationnels et les révise à fréquence régulière ;
• informe ses personnels et les exerce à utiliser les solutions de continuité en cas de
sinistre.
Deux prérequis sont indispensables pour engager la démarche « continuité
d’activité » :
• une stratégie d’entreprise clairement définie ;
• un risk assessment solide et exhaustif.
Les principaux résultats attendus (livrables)
Ce sont :
• une cartographie des risques ;
• un business impact analysis, une collecte des expressions de besoins des métiers, met-
tant en évidence les activités critiques ;
• une stratégie de continuité d’activité déclinée en fonction de différents scénarii de
sinistres, et adressant les objectifs métiers, les priorités et les niveaux d’activité à
recouvrir après un sinistre ;
• un inventaire des ressources critiques et le séquencement de leur montée en charge ;
• des plans de continuité d’activité décrivant les dispositifs mis en place et les procé-
dures pour mettre en œuvre la stratégie ;
• des programmes de tests et des plans d’action correctifs ;
• des supports d’information, de sensibilisation et de formation.
La démarche BIA est conduite par les coordinateurs des plans de continuité d’acti-
vité (PCA) sur la base d’interviews réalisées avec les propriétaires des processus
métiers. Les informations collectées ainsi que les analyses d’impacts sont systémati-
quement validées par le management, qui est responsable de l’expression des
besoins, de la définition des stratégies, de l’allocation des moyens humains et finan-
ciers nécessaires à la démarche et qui est propriétaire des plans de continuité.
La démarche BIA
Elle se déroule en étapes distinctes.
Étape 1 : cartographie des processus métiers
La compréhension de l’organisation commence nécessairement par une cartographie
décrivant les activités de chacune des entités du groupe :
• identifier les principaux processus métiers ;
• inventorier les ressources requises pour mener à bien chacun de ces processus.
Cette cartographie est le préalable indispensable au déploiement de la démarche BIA
et plus généralement de la démarche de continuité d’activité : l’analyse d’impact, la
définition des objectifs de reprise et les expressions de besoin en termes de ressources
sont construites au niveau de chaque processus métier.
À noter que, s’il existe déjà des descriptions de processus dans l’organisation, elles
doivent être systématiquement réutilisées dans un souci de cohérence et d’efficacité.
La cartographie doit aussi mettre en lumière les périodes critiques de chaque
processus, c’est-à-dire les périodes durant lesquelles un sinistre aurait les impacts les
plus pénalisants pour l’entreprise (« scénario du pire »).
La définition des périodes critiques permet :
• de définir les stratégies de reprise en intégrant le scénario dans lequel un sinistre
aurait lieu aux moments les plus critiques du processus ;
• d’informer, le cas échéant, les gestionnaires de crise des circonstances particulières
liées à la période de déclenchement du sinistre.
Exemples de périodes critiques : arrêtés comptables, cut-off, échéances à terme, etc.
Pour les besoins de cette cartographie, des ressources critiques doivent être identi-
fiées. Les ressources critiques à identifier sont les ressources indispensables à l’accom-
plissement d’un processus métier qui doivent nécessairement être restaurées pour
garantir la continuité des activités critiques suite à un sinistre.
On peut ainsi citer :
• besoins en personnel : nombre de personnes allouées au processus métier en production ;
• systèmes informatiques :
– applications métiers,
© Groupe Eyrolles
– progiciels intégrés,
– disques partagés ;
• poste de travail : type de configuration requise (nombre et puissance des PC,
nombre d’écrans, téléphonie normale ou spécialisée, etc.) ;
Ch. 3 – Modalités de mise sous contrôle des risques 33
Chaque activité doit définir une échelle pertinente lui permettant de quantifier de
manière homogène et cohérente ses pertes financières potentielles. Ces quantifi-
cations sont ensuite traduites en degrés d’impacts en fonction de leur importance :
• très élevé ;
• élevé ;
• moyen ;
• faible.
Il appartient au management de chaque entité de définir et valider cette échelle, car
celle-ci sera utilisée pour définir les objectifs et arbitrer les priorités de reprise. Les
impacts qui ne peuvent pas être quantifiés en termes financiers sont qualifiés selon le
même type d’échelle.
Étape 3 : déterminer la stratégie – définition des objectifs de reprise
Une fois l’analyse d’impact réalisée, le groupe est en mesure de définir pour chacun
des processus métiers étudiés :
• la période de temps maximale après le sinistre, au cours de laquelle chacune des
ressources nécessaires à l’accomplissement d’un processus métier pour être opéra-
tionnelle doit être recouverte (recovery time objectives [RTO]) ;
• le niveau d’activité qui doit être repris pour chaque processus, ainsi que son évolu-
tion dans le temps sur une période d’un mois à compter de la survenance du sinistre.
La définition des objectifs de reprise doit permettre de comprendre la stratégie que
les métiers souhaitent mettre en place pour assurer la continuité de leur activité avec
un niveau acceptable de dégradation suite à un sinistre. La stratégie est ainsi
formulée de manière simple : en cas de sinistre et pour chaque métier, quelles capa-
cités le groupe veut-il conserver ou recouvrer, et à quelles échéances ?
Comme lors de l’analyse d’impact, la bonne pratique veut que la stratégie et les
objectifs de reprise soient définis au regard du scénario le plus impactant pour le
processus métier considéré (l’entreprise est la seule impactée, les autres acteurs du
secteur opèrent normalement).
La définition des RTO repose obligatoirement sur la cartographie et l’analyse
d’impact réalisée avec le BIA :
• implicitement, le RTO indique le niveau d’impact que le métier accepte de sup-
porter (le seuil de tolérance) ;
• les périodes critiques identifiées lors de la cartographie des processus sont prises en
compte dans la définition de la stratégie de reprise (objectifs et priorités en cas de
sinistre survenant à la pire période).
Étape 4 : élaborer et mettre en place des solutions
Les métiers ayant défini leur stratégie de continuité d’activité et formulé leurs
© Groupe Eyrolles
Secours croisés
• Cross back up : solution consistant à reloger un utilisateur ayant perdu l’accessibilité
à son poste de travail sur un autre poste dans un autre immeuble de production
non impacté.
• Cross border : solution consistant à reloger le personnel sur une autre implantation
du groupe à l’international.
Remarque : ces solutions croisées supposent que des positions et équipements de
production et/ou de réserve puissent être libérés à la demande, où et quand néces-
saire. En outre, la solution à l’international n’est raisonnablement pas opérationnelle
avant J + 2 après sinistre (évaluation empirique).
Accès à distance
Capacité de mener des activités depuis un site n’appartenant pas au groupe avec un
accès à distance aux applications informatiques si nécessaire (domicile, cybercafé,
entreprise tierce…).
Remarque : l’accès à distance n’est pas la solution à privilégier pour certaines acti-
vités critiques (trading, trésorerie, etc.), car elle suppose une qualité de contrôle et
de sécurité dégradée (accès via Internet).
Split operations
• Solution consistant à éclater temporairement les personnels critiques sur un plus
grand nombre de sites (production, repli, accès à distance) en prévision d’un risque
accru de perturbation des activités (exemple : manifestation type G8, convention
républicaine à New York, etc.) ou pour répondre à une incapacité conjoncturelle de
rejoindre le lieu de travail habituel (lors d’une grève des transports, par exemple).
• Lorsque cet éclatement des compétences n’est plus conjoncturel mais est intrin-
sèque par construction à la structure de la société, on parle de résilience.
Mise en cohérence - Alignements
Alignement de bout en bout
Pour garantir la cohérence du dispositif de continuité, il est essentiel d’aligner les
stratégies et solutions des fonctions supports (FS) et de l’informatique (IT) sur les
objectifs de reprise des fronts métiers (FO).
• Étape 1 : les FS intègrent les expressions de besoin et la stratégie des FO dans la
définition de leurs objectifs PCA (itérations, si besoin).
• Étape 2 : l’IT aligne sa stratégie de reprise pour répondre aux exigences métiers
consolidées.
• Étape 3 : le business case est consolidé de bout en bout, puis est validé par le mana-
gement.
© Groupe Eyrolles
• Étape 4 : l’implantation (ou la révision) des solutions retenues fait l’objet d’un plan
d’action.
• Étape 5 : le dispositif mis en place est documenté et validé par le management.
Ch. 3 – Modalités de mise sous contrôle des risques 37
Alignement transversal
De façon similaire à l’alignement « en silo », une mise en cohérence transversale est
nécessaire pour les activités ayant identifié des interdépendances critiques entre elles
ou bien lorsqu’elles partagent les mêmes ressources critiques.
Alignement avec les scénarii
Le choix des solutions à déployer peut changer en fonction du scénario de sinistre
auquel le groupe est confronté. Il convient donc de procéder à une mise en cohé-
rence pour mettre en face de chaque scénario les impacts à considérer et les solutions
permettant la couverture des activités (scénarii impactant directement les métiers et
problématiques « hubs régionaux »).
Optimiser les investissements
Quel est le périmètre à couvrir ? En tenant compte de la probabilité d’occurrence et
des impacts relatifs à l’ensemble des scénarii que le groupe a choisi de couvrir, le
positionnement dépendra du seuil de risque acceptable préalablement défini.
La seule mise en conformité du dispositif de continuité avec les objectifs réglemen-
taires ne présente pas d’apport significatif en termes de continuité, et ce, malgré un
investissement lourd, notamment au niveau informatique.
À l’inverse, les solutions informatiques requises pour répondre aux exigences régle-
mentaires donnent au groupe une capacité à assurer la continuité des systèmes
d’information bien au-delà du strict minimum réglementaire.
Un investissement supplémentaire sur des solutions métiers pour assurer la conti-
nuité des activités vitales et critiques présente un retour sur investissement plus favo-
rable et permet d’optimiser l’investissement minimal requis pour répondre aux
exigences réglementaires.
Plan d’urgence
Le plan d’urgence vise à gérer de façon optimale des scénarii de crise affectant le
patrimoine de l’entreprise et susceptibles de générer des dommages environne-
mentaux substantiels. Pour les risques hautement protégés, le plan d’urgence est
constitué de trois niveaux :
• plan d’organisation interne des secours, dont la coordination est sous la responsabilité
du chef d’établissement, visant à s’assurer de l’évacuation effective du personnel et
des tiers au moment du sinistre et précisant les modalités de gestion du sinistre ;
• plan particulier d’intervention : concerne les sinistres d’ampleur plus importante
en associant la protection civile, les pompiers, le préfet ;
• plan Orsec, sous la responsabilité du préfet de Région, voire du ministre de l’Inté-
rieur et ou de l’Environnement.
© Groupe Eyrolles
38 Partie 1 – Contraintes réglementaires et méthodologies
Cellule de crise
La cellule de crise est l’outil fédérateur des autres outils de gestion de crise. C’est à la
fois une structure logistique permettant de gérer la situation de crise dans des
conditions optimales, et des acteurs internes et externes qui seront différents en
fonction du scénario de crise analysé :
• en tant que structure logistique : la cellule de crise doit toujours être située à
l’extérieur de l’entreprise, dans un endroit confidentiel. C’est une structure inté-
grant les moyens logistiques suivants :
– configuration téléphonique et informatique opérationnelle et testée régulièrement,
– copie des fichiers stratégiques,
– papier à en-tête, machine à affranchissements,
– vivres, etc. ;
• en tant qu’acteurs : la cellule de crise est constituée d’acteurs internes et externes,
différents en fonction du scénario de crise analysé. Nous pouvons distinguer deux
cas de figure :
– cas où les acteurs sont définis par une contrainte réglementaire,
– cas où les acteurs sont du ressort de l’entreprise.
Autofinancement curatif
Il existe trois cas de figure en termes de financement des risques post-sinistre :
• le financement de la franchise ;
• l’application de la règle proportionnelle de capitaux ;
• le trou de garantie.
Le financement de la franchise est une obligation prévue par le droit des assurances.
« Afin de moraliser le risque », l’assuré doit supporter sur trésorerie courante une
partie du coût du sinistre. En risques industriels, le montant de ces franchises peut
largement dépasser la trésorerie effective détenue par une filiale de petite taille,
pouvant entraîner des problèmes substantiels de trésorerie dans cette dernière.
Ce cas de figure ne semble pas envisageable pour les groupes qui se doivent de sécu-
riser le cash-flow du groupe et la rémunération de l’actionnaire. Nous verrons que
le recours aux comptes captifs de réassurance permet d’autofinancer des niveaux de
franchise élevés.
Dans le cas de l’application de la règle proportionnelle de capitaux, le groupe doit
financer l’écart entre les capitaux déclarés à l’assurance par le management et la
valeur de remplacement à neuf du patrimoine détruit. Dans le cas de la réalisation
d’une expertise préalable de capitaux, ce principe n’a pas lieu d’être.
Le trou de garantie correspond au cas de figure où le fait générateur à la base du
sinistre fait partie des exclusions. L’entreprise doit dans ce cas autofinancer l’intégra-
lité du coût du sinistre (si elle en a la capacité !).
Ces techniques de transfert de risque se basent sur le transfert des risques sur des tiers
via l’utilisation de clauses contractuelles.
Ainsi relèvent de cette catégorie le recours à certains Incoterms (international commer-
cial terms) ou l’utilisation de clauses de back-up visant à redéployer les processus
métiers en cas de situation de crise.
40 Partie 1 – Contraintes réglementaires et méthodologies
lement) et valorisant les écarts entre les objectifs de capitaux à assurer pour chaque
filiale et les capitaux assurables localement (risques DIL [difference in limit] : différence
entre les capitaux que le groupe souhaite assurer et les capitaux assurables au niveau
domestique).
Ch. 3 – Modalités de mise sous contrôle des risques 43
Financements alternatifs
Le recours aux financements alternatifs relève d’une sous-branche du corporate risk
management dénommée « ingénierie des risques ».
Cette dernière a pour objectif, d’une part, de financer en intragroupe certains
risques de sinistralité maîtrisables en vue de réaliser de l’autofinancement défiscalisé
sous couvert de transfert de risques ; et d’autre part, de financer des risques émer-
gents non assurables (via le marché de la réassurance technique) ou de lever des capi-
taux supérieurs au marché de l’assurance via des techniques de titrisation.
Systèmes captifs d’assurance/réassurance
Les groupes industriels ou tertiaires peuvent avoir recours à des systèmes captifs
d’assurance ou de réassurance (via filialisation interne au groupe) en vue d’auto-
financer certains risques de sinistralité maîtrisables. De fait, il existe trois types de
montages juridico-financiers.
Systèmes captifs de réassurance
Les systèmes captifs de réassurance sont les plus fréquents. Dans cette configuration,
la société mère détient une filiale ayant le statut de société de réassurance (c’est-à-
dire finançant uniquement les risques de personnes morales et ne pouvant financer
les risques concernant les personnes physiques).
© Groupe Eyrolles
Les risques du groupe sont transférés à un assureur tiers apériteur qui coordonne le
programme d’assurance au niveau mondial et rétrocède une partie des primes à la
société captive de réassurance. L’apériteur se coassure auprès de la société captive.
Afin de protéger leurs surfaces financières respectives, l’assureur apériteur et la
captive se réassurent via des traités proportionnels (partages des risques et des primes
44 Partie 1 – Contraintes réglementaires et méthodologies
Scénarii inacceptables
Ainsi seront traités en priorité les scénarii qui, du fait de leur réalisation, pourraient
remettre en cause la pérennité de l’entreprise. Dans ce cas de figure, le critère
budgétaire est très secondaire, des investissements de prévention substantiels permet-
tront d’éradiquer le risque à titre préventif.
Actif Passif
Actif circulant Passif circulant
Liquidités de la captive
Dettes commerciales
Titres de placement de la captive
Dettes sur rémunération
Créances clients
Immobilisations Ressources à long terme
Investissements de sécurité
Fonds propres de la captive
Investissements de gestion de crise
Quote-part dettes à long terme
Participations de la captive
Autres investissements
© Groupe Eyrolles
Chapitre 5
• mauvaise organisation ;
• défaillance du management ;
• insuffisance de prévention ;
• cas de force majeure.
Chapitre 6
Organisation
Structure ad hoc créée de type direction
La création d’une structure ad hoc de risk management implique, de la part de la
direction, la volonté d’afficher clairement dans l’organigramme l’importance du
projet et de la pérennité du dispositif.
Cette structure peut être concentrée sur un responsable du risk management et
s’appuyer sur des relais que sont les correspondants risk management de division.
La création d’une telle structure ne vise pas à déresponsabiliser les opérationnels, bien
au contraire, mais à permettre une meilleure coordination et un langage unique.
Budget
Internalisation ou externalisation
Le choix d’internaliser ou d’externaliser le projet n’est pas sans incidences ni risques.
Certaines filiales de grands cabinets de commissariat aux comptes proposent en effet
ce type de prestations. Tout internaliser permet d’impliquer les opérationnels dans la
mesure où le responsable du projet a le poids suffisant dans la hiérarchie.
Le risque induit est une difficulté à identifier les bonnes pratiques qui ne seraient pas
en place dans l’organisation.
L’externalisation complète du dispositif de risk management n’est pourtant pas
conseillée. Le risque de désappropriation par les équipes internes du dispositif est très
élevé. Une fois les consultants partis, le dispositif s’étiole et n’est plus maintenu, alors
que les risques et processus critiques sont toujours présents.
Bien entendu, un mélange des deux permet d’allier la connaissance interne et le
benchmark de ce qui se pratique ailleurs.
risk management (Sirm) est l’une des plus sensibles à traiter dans le cadre du projet
construction d’un dispositif de management des risques.
L’idée est bien de construire un dispositif de risk management qui permette de
mesurer l’efficacité de la démarche.
Ch. 6 – Retour d’expérience sur la mise en œuvre de la méthodologie risk management 53
Quatrième étape : passer en revue les processus majeurs et critiques de l’entreprise, ainsi que
ses méta-risques, en visant à identifier les dysfonctionnements significatifs nécessitant
d’engager des plans correctifs (cette étape constituant un véritable levier d’amélio-
ration de la performance).
Cinquième étape : définir les modes de surveillance de ces dispositifs et les acteurs associés.
DEUXIÈME PARTIE
La construction d’une cartographie des risques intègre donc à la fois des risques
génériques concernant l’ensemble des entreprises (risques client, fournisseur, etc.), et
des risques spécifiquement sectoriels.
Le profil risquophile
La prise de risque est considérée comme étant une composante à part entière de la
stratégie générale du groupe, elle est encouragée à ce titre.
Le risque est reconnu en tant que valeur et les aspects réglementaires sont assimilés à
des opportunités.
© Groupe Eyrolles
Le profil neutre
Le groupe adopte une approche structurée en termes d’arbitrage risques/opportunités.
Les critères de rentabilité et de prise de risque sont évalués à un niveau identique.
Le profil risquophobe
Le groupe accepte un minimum de risques.
Les risques qui ne peuvent être mis sont contrôle sont supprimés. Cela peut se
traduire par un désengagement de certaines activités.
Mandat et engagement
Cette étape nécessite un engagement officiel des acteurs de la gouvernance en
conformité avec l’ensemble des réglementations en vigueur.
Communication et consultation
Cette première étape vise à partager, avec les parties liées, une même vision du
dispositif de management des risques à mettre en œuvre, en échangeant les hypo-
thèses de travail communes.
Établissement du contexte
Par la prise en compte de l’ensemble des contraintes et opportunités offertes par les
évolutions réglementaires (réglementaire, concurrentiel, monétaire, démographique,
etc.) et de la flexibilité de l’organisation interne mise en œuvre pour anticiper ces
risques environnementaux.
Appréciation du risque
Identification du risque
L’objectif est de réaliser une cartographie des risques basée sur les événements
susceptibles de faciliter, d’empêcher, de différer l’atteinte des objectifs. Le dispositif
vise aussi à s’intéresser aux risques liés à la non-saisie d’une opportunité.
Dans ce sens le projet de norme ISO 31000 couvre à la fois les dimensions corporate
et business risk management.
Analyse du risque
Le projet de norme demande de décrire les causes des risques affectant les processus
ainsi que leur impact positif ou négatif, en probabilisant les faits générateurs.
La méthodologie proposée va dans le sens des approches classiques développées en
termes de contrôle interne et de management des risques.
Évaluation du risque
Cette étape consiste à comparer le niveau de risque estimé lors de la simulation des
scénarii de risques avec les critères de risque établis lors de l’établissement du contexte.
Si le niveau de risque ne satisfait pas les critères d’acceptabilité (parce qu’il se traduit
par une remise en cause de la pérennité de l’entreprise), il convient que le risque
© Groupe Eyrolles
Traitement du risque
L’objectif de cette étape est de supprimer le risque ou de réduire le niveau de vulné-
rabilité de l’entreprise :
Ch. 1 – Cartographie des risques industriels 63
Surveillance et revue
Cette phase passe par la construction d’un système d’information management des
risques permettant de suivre le monitoring des risques.
Cette méthodologie s’avère relativement proche de celle de l’ARM, qui se décom-
pose en cinq étapes :
• identification et analyse des risques (étude de la sinistralité antérieure, simulation
de l’impact d’un sinistre majeur sur les objectifs stratégiques, quantification des
pertes générées par un sinistre majeur) ;
• étude des outils de contrôle des risques (contrôle interne, technique et financier
des risques) ;
• choix optimal en termes de combinaison d’outils (basé sur les critères de la mini-
misation des impacts) ;
• mise en œuvre des décisions (dont budgétisation) ;
• reporting, monitoring (tableaux de bord management des risques).
© Groupe Eyrolles
Chapitre 2
Le contrôle préventif des risques intègre à la fois les outils de contrôle interne et de
gestion de crise informatique, les investissements de sécurité informatique et les
outils de contrôle financier.
68 Partie 2 – L’entreprise industrielle hors risque
Contrôle technique
Il intègre les investissements de sécurité physique (onduleurs, détection d’intrusion)
et logiques (firewall), mais aussi les charges d’exploitation engagées au titre de la
sécurité informatique (ingénieurs en charge de la sécurité informatique par
exemple).
Contrôle financier
Le contrôle financier du risque est essentiellement constitué du transfert contractuel
du risque.
De nombreux groupes souscrivent une police globale informatique pour assurer le
matériel informatique quels que soient sa qualification juridique et les frais de
reconstitution des médias en cas de défaillance du dispositif de sauvegarde. Peuvent
aussi être souscrits des frais d’exploitation supplémentaires, tels que la location d’un
ordinateur de remplacement.
De surcroît, le déploiement d’un plan de reprise informatique passe obligatoirement
par la souscription de clauses de back-up à titre préventif auprès de constructeurs
informatiques permettant le redéploiement des traitements critiques chez ce dernier
en cas de sinistre.
Contrôle financier
En cas de sinistre, l’assureur a une obligation d’indemnisation via la police globale
© Groupe Eyrolles
Contrôle financier
La mise sous contrôle du risque client passe par différents types d’outils :
• transfert contractuel du risque client : exemple via contrat d’affacturage ;
• transfert par assurance : via assurance-crédit simple ou assurance-crédit Excess
nécessitant la mise en œuvre d’un dispositif de crédit management efficace ;
• transfert financier : via l’utilisation de crédits documentaires irrévocables et confir-
més (qui ont en plus l’intérêt d’annuler le risque politique), titrisation de créances
clients (exemple de fonds communs de créances).
Contrôle financier
© Groupe Eyrolles
Contrôle financier
La mise en œuvre d’un financier efficace portant sur le risque fournisseur passe par
trois leviers d’action :
• transfert via programme d’assurance à l’international : peut se matérialiser par la
souscription dans le cadre d’un programme du type souscription locale des risques,
ou umbrella, ou master policy, d’une clause « carence de fournisseurs » consécutive
ou non consécutive à un dommage matériel ;
© Groupe Eyrolles
• transfert via clause de back-up signée par les fournisseurs captifs : formalisé via une
clause de mise à disposition de ressources logistiques (le groupe devra vérifier, via
audit de site, l’existence réelle des capacités logistiques de stockage proposées par
le fournisseur) ;
Ch. 2 – Le dispositif de corporate risk management 71
• transfert contractuel hors assurance : via le choix de clauses d’Incoterm, par exemple,
limitant le risque fournisseur à l’international, ou via l’introduction de clauses de
pénalités de retard en cas de rupture d’approvisionnement imputable au fournisseur.
Contrôle curatif
Contrôle interne et gestion de crise
En cas de sinistre maximum possible, le groupe industriel activera son plan de conti-
nuité des processus critiques et cherchera soit à redéployer les flux logistiques à
l’international sur des usines non sinistrées ou à faire porter le coût de possession des
stocks sur les fournisseurs ayant signé les clauses de back-up.
Contrôle financier
En cas de rupture d’approvisionnement substantielle, le recours à cet outil se traduira
par une indemnisation assurance des pertes d’exploitation générées par cette rupture,
quelle qu’en soit la cause (causes imputables aux fournisseurs, ou causes exogènes,
telles que grève des transporteurs, par exemple).
1. Coût moyen pondéré du capital : coût moyen de constitution des ressources financières à plus
d’un an.
72 Partie 2 – L’entreprise industrielle hors risque
Contrôle technique
Protection des expatriés et des autochtones
La protection des expatriés passe en général par un cloisonnement des expatriés dans
des quartiers de haute sécurité et par l’accompagnement des salariés en contexte
sécurisé par des gardes rapprochées.
Contrôle financier
Protection des expatriés et des autochtones
Elle se matérialise par la souscription de police d’assurance collective en cas de
dommages corporels affectant le personnel ou par la souscription de polices respon-
sabilité civile.
de redéployer les processus critiques des sites opérationnels sur des entités n’étant pas
en grève.
Contrôle technique
Dans le cas de sites industriels du type risques hautement protégés, le risk manager
peut envisager d’engager des moyens préventifs spécifiques à ce type de scénario de
crise, qu’il pourra aussi activer dans le cadre d’autres scénarii de crise (du type
atteinte à l’environnement) : duplication des portiques d’accès, etc.
Contrôle financier
La couverture du risque de grève interne est toujours un sujet sensible qui pose obli-
gatoirement la question de l’adéquation du management et la qualité de la stratégie
de gestion des ressources humaines. L’indemnisation par les techniques d’assurance
classique s’avère donc peu envisageable. Il faut lui préférer le recours à des finance-
ments alternatifs que nous avons déjà évoqués.
Contrôle technique
Le risk manager doit anticiper les conséquences d’une grève des transporteurs sur les
stockages à risque (secteur de la chimie, par exemple). Il se doit donc d’évaluer le
niveau de stock de sécurité nécessaire pour prévenir tout risque éventuel
d’explosion, et de prévoir une mise en préalerte des sites possédant des installations
classées à risque.
Contrôle financier
Il est souhaitable de prévoir la souscription d’une police perte d’exploitation
couvrant la clause « carences de fournisseurs », qui, comme son nom l’indique, a
pour vocation d’indemniser le préjudice financier causé par une grève externe.
En tout état de cause, l’assureur vérifiera l’existence d’un plan de reprise d’activité
logistique amont et/ou aval avant d’autoriser la souscription d’une telle clause.
• d’envoyer les salariés non grévistes sur d’autres sites (y compris étrangers) n’étant
pas en grève ;
• d’assurer la protection des actifs risqués du site en grève ;
76 Partie 2 – L’entreprise industrielle hors risque
• de protéger les salariés grévistes et non grévistes (risques de conflits entre les deux
typologies) ;
• d’envoyer les cadres clés intervenant sur les processus critiques sur des sites étran-
gers hautement protégés (ce sont en général des cadres du groupe ressortissants
étrangers non soumis au droit du travail français).
Contrôle financier
Il sera possible d’activer des ressources financières si le groupe a souscrit avant
sinistre la location de comptes captifs de réassurance, ou s’il possède une société
captive de réassurance où le risque de grève interne a été souscrit.
Contrôle financier
En cas de grève externe, le risk manager déclarera un sinistre à son assureur apériteur
en vue de faire jouer la clause « carence de fournisseurs » tout en activant le plan de
reprise d’activité sur des sites non sinistrés pour limiter l’impact financier du sinistre.
Contrôle technique
Le contrôle technique décrit l’ensemble des investissements de sécurité et des
charges d’exploitation engagés au titre de la sécurité atteinte à l’environnement :
• doubles cuves de rétention ;
• station d’épuration ;
• plan de tests environnementaux ; etc.
Contrôle financier
Transfert par assurance
Les conséquences du risque atteinte à l’environnement sont essentiellement
couvertes par la souscription d’une police d’assurance responsabilité civile générale
et professionnelle.
Cependant, compte tenu de l’importance des capitaux pouvant être engagés, les
capitaux traditionnellement souscrits dans ce type de programme se révèlent insuffi-
sants. Il s’avère donc indispensable d’avoir recours à d’autres montages ayant pour
objectif de protéger la surface financière du groupe en cas de réalisation du risque.
Ainsi, l’entreprise peut souscrire en complémentant une police Assurpol 1, ayant
pour objectif de monter en puissance les capitaux souscrits, entre autres, sur des
risques de pollution chronique.
Si ce montage ne suffit pas, il convient alors d’envisager un autre montage relevant
de l’ingénierie des risques.
Attention ! Dans ce dernier cas de figure, la captive de réassurance doit avoir signé
des traités de réassurance de type stop loss limitant sa responsabilité à des capitaux
limités en cas de sinistre majeur.
1. Assurpol : groupe d’intérêt économique européen finançant des risques de pollution chronique.
78 Partie 2 – L’entreprise industrielle hors risque
Contrôle financier
Le risk manager fera jouer l’ensemble des indemnisations prévues dans le cadre du
programme multi-yield, multi-field, et aura recours à la cession des actifs titrisés en ce
qui concerne le recours à la réassurance financière protégeant ainsi la rémunération
de l’actionnaire.
Contrôle technique
Il se matérialise à la fois par des dépenses engagées au titre de la sécurité (contrôle
sécurité et prévention incendie certifié par des organismes de contrôle technique) et
par des investissements engagés au titre de la sécurité incendie (sprinklage de l’usine,
contrôle des accès, etc.).
Contrôle financier
Il se traduit par la souscription d’une police d’assurance multirisque industrielle
couvrant l’ensemble des dommages matériels pouvant être générés par un incendie
et par la négociation de clauses de back-up avec des fournisseurs et des sous-traitants
captifs capables de porter des processus critiques en cas d’incendie.
© Groupe Eyrolles
Chapitre 3
– le CMPC (coût moyen pondéré du capital) est différent par unité d’affaires,
– existence du critère de l’indépendance par BU (l’arrêt d’une BU ne doit affecter
ni les processus ni les performances financières des autres BU),
– possibilité de prix de transfert inter-BU, s’ils sont marginaux et ne remettent pas
en cause le principe de l’autonomie stratégique ;
• par zone géographique/monétaire :
– avec existence d’une segmentation en fonction du niveau du risque politique
ou par technique de contrôle du risque de change.
WACC différent pour chaque zone géographique et corrélé à l’évaluation du
risque politique.
L’IASB (International Accounting Standard Board) a introduit une vision très
tournée vers l’intégration d’une approche risk management en proposant une telle
logique de segmentation stratégique. En effet, en proposant le critère de l’auto-
nomie stratégique, l’IASB valide la maxime « diviser pour mieux régner » en créant
des « compartiments étanches » au sein des groupes, ayant une autonomie straté-
gique propre et dont l’arrêt d’activité ne doit affecter ni les processus ni les perfor-
mances financières des autres unités d’affaires du groupe.
De même, lorsque l’IASB demande explicitement de majorer le CMPC d’un facteur
de risque politique, et d’isoler en communication financière les zones géographiques
à risque politique majeur, il reconnaît explicitement le droit de regard que doivent
avoir les actionnaires sur les choix stratégiques du conseil d’administration, et l’impact
de ces choix sur leur rémunération. Ces choix sont acceptables si bien évidemment le
top management a la capacité de démontrer en communication financière la capacité
du groupe à mettre effectivement sous contrôle le risque politique (guerre civile,
militaire, expropriation, nationalisation, etc.).
Pour répondre à ces critères d’activation, le business analyst doit élaborer un business
plan sur la durée d’usage, c’est-à-dire sur la durée d’utilisation prévue de ce sous-
ensemble d’actifs.
La projection de ce business plan sur le futur présuppose donc d’établir un principe de
prudence et de sincérité dans l’élaboration de ce dernier, qui de surcroît est soumise
à l’approbation des commissaires aux comptes.
L’élaboration sincère d’un business plan se doit d’intégrer à la base :
• la dimension business risk management (par l’intégration de l’application de taux de
croissance décroissants dans l’estimation du CA, qui, de surcroît, doit obligatoi-
rement être fondée sur une étude de marché). L’objectif, dans ce cas de figure, est
de s’assurer du principe de prudence dans l’élaboration des cash-flows prévisionnels
sur toute la durée d’usage du business plan. En effet, l’unité génératrice de trésorerie
est une composante clé du dispositif budgétaire, puisque les prévisions de cash-
flows synthétisés dans l’état de variation des flux de trésorerie ne sont que la conso-
lidation des prévisions réalisées à ce niveau. La qualité des prévisions de flux de tré-
sorerie prévisionnels conditionne la politique de dividendes prévisionnelle, et ce, de
façon très sensible si l’entreprise verse des acomptes sur dividendes. Le processus de
sécurisation des cash-flows prévisionnels au niveau UGT est donc un élément clé
de la stratégie de business risk management, puisque, en cas d’erreur affectant ce
processus, les conséquences financières peuvent être majeures pour le groupe (ver-
sement d’acomptes sur dividendes générant des insuffisances de trésorerie) ;
• la dimension corporate risk management (par l’intégration de la notion de compo-
santes et par l’analyse de l’impact de chaque composante sur les cash-flows prévi-
sionnels). Ainsi, la composante investissement de sécurité ou pièces de rechange
aura pour objectif de sécuriser les cash-flows.
L’approche conceptuelle développée par l’IASB est très intéressante puisqu’elle
impose de s’interroger sur les liens existant entre les composantes constitutives de
l’outil de production, les processus métiers et les flux de trésorerie générés par les
activités.
Ainsi, la mise sous contrôle en termes de sécurité des composantes constitutives de
l’UGT intégrant des biens sous contrôle (en propriété, crédit-bail, en location,
confiés, en concession ou affermage) permet de s’assurer de la protection des cash-
flows prévisionnels à la base de la création de valeur pour le stakeholder (preneur de
risques).
Par voie de conséquence, la construction d’un dispositif de corporate risk mana-
gement efficace doit se concentrer sur cette typologie de centre de risque à la fois en
termes de contrôle technique, mais aussi en termes de gestion de crise.
De fait, les plans d’urgence ainsi que les plans de continuité d’activité, ou les plans de
retrait des produits, se doivent d’être conçus au niveau de chaque UGT, puisque,
© Groupe Eyrolles
par définition, une UGT regroupe tant des immobilisations sous contrôle que des
immobilisations incorporelles (marques commerciales achetées ou activation des frais
de développement sous forme d’une marque).
Ch. 3 – Le dispositif de business risk management 83
BU récoltes
Business plan
par UGT
UGT herbicides
1 2 3 4 5 6 7 8 9 10
UGT
Marque commerciale
Immobilisations cor-
porelles par compo-
santes machine-outil
30 000
Investissements
5 000
de sécurité
Somme des actifs 56 800 4 600 4 700 9 800 4 900 5 000 5 500
Identifiables de l’UGT
☞
© Groupe Eyrolles
84 Partie 2 – L’entreprise industrielle hors risque
Business plan
par UGT
UGT herbicides
1 2 3 4 5 6 7 8 9 10
Cash-flows bruts -2 300 -4 000 -7 000 15 200 18 131 25 105 28 814 32 622 39 102 43 128
Cash-flow brut
-2 300 -6 300 -13 300 1 900 20 031 45 136 7 350 106 571 145 673 188 801
cumulé
Cash outflows 2 300 4 000 7 000 7 300 7 519 7 745 7 977 8 216 8 463 8 717
Activation au jalon
Charges d’exploita-
0 0 0 7 300 7 519 7 745 7 977 8 216 8 463 8 717
tion décaissables
Frais de supervision
1 300 1 339 1 379 1 421 1 463 1 507 1 552
de la production
Prix unitaire HT
15 15 17 17 17 18 18
en K€
Taux de croissance
0,15 0,14 0,13 0,12 0,11 0,1 0,09
décroissant
☞
Ch. 3 – Le dispositif de business risk management 85
Business plan
par UGT
BU crop protec-
phase R&D phase cycle de vie
tion
1 2 3 4 5 6 7 8 9 10
VAN de l’UGT
Coef
0,9259 0,8573 0,7938 0,735 0,6806 0,6302 0,5835 0,5403 0,5002 0,4632
d’actualisation
Somme actualisée
-2 130 -3 429 -5 557 11 172 12 340 15 820 16 813 17 625 19 561 19 977
des cash-flows
Somme actualisée
0 0 0 41 750 3 130,7 2 961,8 5 718,2 2 647,3 2 501,2 2 547,6
de l’actif identifiable
© Groupe Eyrolles
Chapitre 4
Cette différence d’approche traduit d’une certaine manière le choix entre compliance
(« conformité légale ») et volonté de mise sous contrôle effective de risques significa-
tifs. Le risk manager se trouve être à la fois le gardien du temple en charge de l’appli-
cation de règles contraignantes et le business partner de la direction générale porteur
des projets de développement de l’entreprise.
88 Partie 2 – L’entreprise industrielle hors risque
Une telle dichotomie avait d’ailleurs été relevée par le sénateur Marini dans son
rapport du 27 juillet 2004 sur la première année d’application de la loi de sécurité
financière (LSF) de 2003. Elle se retrouve adoptée par les entreprises à l’égard du choix
pris en matière de communication externe sur les risques : le rapport du président sur
le dispositif de contrôle interne prévu par la LSF. Au bout d’une année d’application,
le sénateur écrivit le commentaire suivant (qui se suffit à lui-même) :
« Il n’est pas acceptable, à cet égard, que près des deux tiers des rapports examinés par le
cabinet Deloitte ne contiennent aucun détail concernant les risques encourus par la société. Il est
également inquiétant que seulement un peu plus d’un tiers des entreprises étudiées indiquent
comment les risques sont gérés d’un point de vue organisationnel. »
À cette carence s’ajoutait une divergence de vues entre les pouvoirs publics et
l’AMF sur l’orientation du rapport du président sur le contrôle interne : évaluatif ou
descriptif ? Là aussi, le distinguo en dit long sur l’accueil réservé au nouveau texte…
« Il ne s’agit naturellement pas de demander à l’entreprise de procéder à une autocritique qui
pourrait avoir des effets destructeurs. Il s’agit d’encourager l’adoption d’une perspective dyna-
mique orientée vers le progrès, plutôt que figée sur l’existant. »
Aujourd’hui, il faut constater les progrès accomplis, à force de pédagogie et peut-
être d’une moindre crainte sur l’étendue de la responsabilité pénale et civile des diri-
geants face au dispositif de risk management. Mais sont-ils suffisants pour faire du
risk management un moyen et non une fin ? Il y a donc un débat à nourrir et une
question cruciale à trancher.
risques.
L’objectif de cette dernière est de s’assurer de l’existence de processus ou de projets
spécifiquement dédiés à l’atteinte des objectifs, dont les objectifs financiers.
Cette approche vise à garantir la protection du business model via le dispositif de
management des risques.
Ch. 4 – Mettre en œuvre le dispositif risk management et communiquer sur son efficacité 89
Préalables
S’assurer de la cohérence entre les risques listés par ordre de criticité lors de la carto-
graphie des risques et l’organisation de l’entreprise. Il faut souligner que la façon
d’aborder le sujet, si la société étudiée est une société « indépendante » à la diffé-
rence d’une PME « intégrée » à un ensemble plus large, sera fondamentalement
distincte, l’organisation matricielle des grands groupes et la juxtaposition des cultures
brouillant trop souvent l’organisation du processus, selon la vision que le groupe
industriel a du risk management.
S’assurer ensuite que l’ensemble du personnel, à tous les niveaux de responsabilité, a
bien perçu l’importance du sujet, a bien compris que le risk management (comme la
sécurité) est l’affaire de tous (et le personnel a donc été briefé en conséquence), et
pas seulement une mode passagère du comité de direction, et a bien intégré dans la
durée les principes de base qui soutiendront ultérieurement l’efficience du système
de risk management, à savoir :
• l’intégration de la dimension risk assessment dans toute décision prise en interne ;
• la primauté de la fonction sur le grade, principe dont le respect sous-tend toute
© Groupe Eyrolles
Mise en œuvre
Au niveau opérationnel (technique, commercial, etc.) et autres niveaux fonction-
nels, mise en œuvre des tests spécifiques à chaque fonction, et selon les risques
majeurs identifiés par ordre de criticité décroissante.
Exemples
• Fiabilité du matériel de production pour la direction Fabrication (programme de
maintenance assistée par ordinateur…).
• Simulations sur la capacité du système informatique à gérer l’accroissement rapide
du nombre de clients et de leur répartition géographique.
Le risk manager (s’il existe) se doit d’être l’animateur et le garant de la mise en
œuvre d’un processus sous contrôle et complet, cohérent avec la vision globale qu’il
aura contribué à impulser précédemment. Exemple : chez un opérateur télépho-
nique, vérifier que la composante « climat social » dans un centre d’appels (point de
passage critique pour l’efficience globale du système) est bien prise en compte par
des entretiens croisés et indépendants (hiérarchie, DRH, salariés).
La direction de l’audit interne se doit d’organiser ses contrôles propres de manière à la
fois choisie (là où les risques sont les plus forts), aléatoire (pour garder un minimum de
caractère dissuasif au système de contrôle), universelle (par exemple : de petites filiales
en dessous du seuil de matérialité peuvent se révéler de véritables bombes à retardement
lors des premières questions de l’audit interne), et suivie (i. e. revoir systématiquement
la même unité tant que les résultats des audits réalisés ne seront pas satisfaisants).
La direction financière : elle est au cœur de la gestion des risques. En effet, elle :
• est la gardienne de la qualité du flux d’information financière et de son intégrité ;
• se porte garante, dans la limite des informations dont elle dispose, de l’exhaustivité
des informations publiées (et de celles qui ne le sont pas) ;
Ch. 4 – Mettre en œuvre le dispositif risk management et communiquer sur son efficacité 91
Mais les préjudices les plus importants sont portés aux actionnaires. D’où la nécessité
d’une grande transparence en matière de politique de maîtrise des risques et de
contrôle associé. C’est donc un élément central du gouvernement d’entreprise, qui
peut aboutir à la création d’une commission spécialisée management des risques et
contrôle interne, distincte de celle orientée sur l’audit et le contrôle comptable.
92 Partie 2 – L’entreprise industrielle hors risque
recommandation est cohérente avec l’esprit des normes IFRS, mais elle fait de
chaque acteur de l’entreprise, à son niveau, un élément moteur de maîtrise des
risques. Chacun devient dépositaire d’une partie des fonds propres et doit analyser la
part des actifs sur lesquels il intervient, afin d’en assurer non seulement la valorisation
(liée à la génération de cash-flow), mais aussi la protection (notion de risk owner).
94 Partie 2 – L’entreprise industrielle hors risque
La banque ou la compagnie
d’assurances hors risque
Approche standard
La logique d’allocation des fonds propres dépend de la maîtrise des risques opéra-
tionnels par métier bancaire :
K= bêta i × PNB i
Les coefficients bêta se détaillant de la façon suivante :
• B1 financement entreprise : 18 % ;
• B2 négoce et vente : 18 % ;
• B3 banque de détail : 12 % ;
• B4 banque commerciale : 15 % ;
© Groupe Eyrolles
• B5 paiement et règlement 18 % ;
• B6 fonction d’agents : 15 % ;
• B7 gestion d’actifs : 12 % ;
• B8 courtage de détail : 12 %.
100 Partie 3 – La banque ou la compagnie d’assurances hors risque
constitution des fonds propres : les fonds propres réglementaires doivent faire
a minima 8 % (exigences pour risque de marché × 12,5 + exigences pour risque
opérationnel × 12,5 + encours des risques de crédit pondéré.
• le renforcement des contrôles, procédures d’alerte, empêchant les ruptures dans les
chaînes de commandement et de reporting ;
• le renforcement de l’organisation et de la gouvernance du dispositif de prévention
des risques opérationnels dans une optique de transversalité.
Il existe un risque de variation des résultats générés par les variations des taux
d’intérêt se traduisant par une diminution du PNB (produit net bancaire).
On dénombre deux risques :
• taux fixe à taux fixe ;
• taux fixe à taux variable.
Le risque de taux fixe à taux variable peut être couvert par un swap de taux :
• il s’agit d’une macro-ouverture revenant à un échange d’intérêts et non de capital ;
• le prix du swap est obtenu en actualisant les flux de capitaux et d’intérêts à taux
fixe (première jambe) ;
• et les mêmes à taux variable (deuxième jambe).
On entend par comité d’audit un comité qui peut être créé par l’organe délibérant
pour l’assister dans l’exercice de ses missions.
Cette création n’est pas obligatoire à ce jour (elle le devient avec la 8 e directive euro-
péenne sur l’audit légal) et, même si elle est formellement encouragée par les autorités
Ch. 2 – Le risk management bancaire 109
• procédures écrites ;
• manuel de conventions intragroupe ;
110 Partie 3 – La banque ou la compagnie d’assurances hors risque
Pertes financières L’échelle des pertes est définie par le management en s’appuyant sur les
directes données comptables de l’activité étudiée (PNB moyens journaliers/men-
Pertes de revenu suels/annuels) et sur les indicateurs de risques (par exemple : VAR)
Incapacité à Incapacité à
La banque n’est
Incapacité à répondre à cer- répondre à certai-
pas dans l’inca-
répondre aux taines obligations nes obligations
pacité de faire
obligations régle- réglementaires réglementaires
Impacts régle- face à ses obli-
mentaires. Per- majeures. Mises dans les délais
mentaires gations et/ou
tes de licence ou sous surveillance. impartis, bien que
tolérance proba-
de droit à opérer Risques de sus- les régulateurs
ble des régula-
sur les marchés pension tempo- puissent accepter
teurs
raire des activités quelques retards
Nombreuses Plaintes et pour- Quelques plaintes
plaintes et pour- suites avec des ou poursuites
Possibilité
© Groupe Eyrolles
☞
Très élevé Élevé Moyen Faible
Le benchmark est aussi une problématique des autorités financières de faire réfé-
rence aux différents tests de place. Par exemple, la place financière de Paris effectue
régulièrement des tests, la FSA également. Dans une logique d’ensemble on conver-
gera vers une réduction du risque systémique.
L’évolution des PCA vers une convergence intragroupe soulève de nouveaux
besoins, comme un référentiel commun : il faut un référentiel commun qui recense
les activités, processus et sous-processus de l’entité et qui répertorie et établit les liens
entre différentes entités. Ces référentiels de processus, et les cartographies (applica-
tives, fonctionnelles, etc.) afférentes, devront être maintenus à jour.
La transversalité est un concept important : la plupart des grands groupes commu-
niquent sur leur structure (« Cohérence et subsidiarité »). Dans la plupart de ces
groupes, on note un fonctionnement majoritairement en silo. Il convient de
dépasser cette vision et de progresser vers une dimension transversale.
Le risque informatique
Le risque informatique, bien que non spécifique aux établissements bancaires, est un
risque majeur qui nécessite d’engager des mesures préventives substantielles, compte
tenu du caractère de dématérialisation de l’activité bancaire, telles que :
• duplication du réseau ;
• back-up informatique intragroupe et externe (avec constructeur et structure
d’infogérance).
Les délais d’arrêt de l’exploitation informatique doivent être très courts et paralyse-
ront complètement l’ensemble des processus bancaires.
Cependant, les autres outils de mise sous contrôle des risques présentés dans cet
ouvrage (assurance, prévention, etc.) seront, bien entendu, mis en œuvre et activés.
La directive MIF met ainsi en exergue la nécessité d’une mise sous contrôle de la
relation client en fonction de sa catégorie d’appartenance, passant préalablement par
une information préalable claire et non trompeuse et se traduisant par une meilleure
connaissance du client, une prévention des conflits potentiels optimisant la politique
de best execution (gestion des ordres client) et autorisant la mise en œuvre de la suita-
bility/appropriateness.
Incendie du siège
du Crédit lyonnais
/BLOOMBERGE
Transfert d’une
partie des traders
sur les filiales
étrangères
fine déclenché une crise financière mondiale. Les banques centrales ont dû, et
doivent encore, effectuer des injections répétées de liquidité pour maintenir une
certaine confiance.
Chapitre 3
Le risque de marché
Dépréciation sur actions
Ce risque se traduit par un écart de performance structurel entre le rendement
attendu d’une action cotée en Bourse et son rendement réel.
À noter que l’IASB (International Accounting Standards Board) et le FASB (Finan-
cial Accounting Standards Board), face à la crise économique et financière du
dernier trimestre 2008, ont pris une position nouvelle faisant apparaître la notion de
marché inactif, limitant ce type de risque.
Lors du sommet des États de la zone euro du 12 octobre 2008, leurs dirigeants ont
fixé les termes d’un plan d’action concertée prévoyant, en particulier, une approche
coordonnée visant à « assurer assez de flexibilité dans la mise en œuvre des règles
comptables IFRS ». « Compte tenu des circonstances exceptionnelles actuelles, les
institutions financières comme les institutions non financières doivent pouvoir
comptabiliser, en tant que de besoin, leurs actifs en prenant en compte leurs modèles
d’appréciation des risques de défaillance de préférence aux valeurs de marché immé-
diates qui ne sont plus pertinentes dans des marchés qui ne fonctionnent plus. »
Cette déclaration suit la recommandation émise lors de l’Ecofin du 7 octobre 2008, à
l’attention des superviseurs et des auditeurs de l’Union européenne, d’éviter toute distor-
sion de traitement entre les banques américaines et européennes du fait des normes
comptables, et ce, dès la clôture des comptes intermédiaires au 30 septembre 2008.
Le Conseil national de la comptabilité, l’Autorité des marchés financiers, la
Commission bancaire et l’Autorité de contrôle des assurances et des mutuelles ont
élaboré, après une réunion avec la Compagnie nationale des commissaires aux
comptes, une recommandation conjointe destinée à rappeler le traitement comp-
table de certains instruments financiers (IAS 39), pour lesquels les perturbations des
marchés ne permettent plus d’observer un prix de marché fiable.
Cette recommandation vise à apporter les clarifications nécessaires pour l’arrêté des
comptes intermédiaires ou annuels clos à partir du 30 septembre 2008. Elle
s’applique aux comptes consolidés, établis selon les normes IFRS en vigueur, telles
qu’adoptées par l’Union européenne, des entités détenant des actifs financiers valo-
risés à la juste valeur et pour lesquels les marchés sont inactifs (cas d’une crise bour-
sière où le cours ne reflète plus la valeur d’une entreprise).
Dans le contexte actuel, la valeur de marché de certains actifs financiers n’est pas, à
elle seule, pertinente et ne permet pas une bonne appréciation de la situation finan-
cière et des résultats des entreprises.
En outre, la détermination de la juste valeur de certains instruments financiers, dont
la variation de valeur affecte le résultat ou les capitaux propres, soulève des difficultés
pratiques importantes, tant pour les préparateurs que pour les commissaires aux
comptes et les utilisateurs de l’information.
© Groupe Eyrolles
Les autorités précitées prennent également acte des déclarations de l’IASB des 2 et
14 octobre 2008, qui indiquent que les clarifications apportées par la SEC et le
FASB sont conformes à la norme IAS 39 « Instruments financiers : comptabilisation
et évaluation ».
Les clarifications évoquées dans ces communications, qui ont l’agrément des quatre
autorités et s’appliquent dans le cadre de la norme IAS 39 en situation de marché
inactif, portent sur l’utilisation des hypothèses développées par l’entreprise en
l’absence de données de marché pertinentes.
Lorsque les marchés sont en crise, l’utilisation d’hypothèses internes développées par
la compagnie relative aux flux de trésorerie futurs, et de taux d’actualisation correc-
tement ajustés des risques que prendrait en compte tout participant au marché
(risque de contrepartie, de non-performance, de liquidité ou de modèle notam-
ment) est justifiée. Ces ajustements sont pratiqués de manière raisonnable et appro-
priée, après examen des informations disponibles.
Cette réforme de la norme IAS 39 autorise donc les compagnies d’assurances à
concevoir des modèles internes s’appuyant sur des modèles d’évaluation des titres
perfectionnés, tels que :
• méthode des comparables ;
• méthode du fair value rating, basée sur la construction d’une grille de scoring straté-
gique et financière permettant de définir une prime de risque ;
• la place des cotations de courtiers dans l’appréciation des informations disponibles ;
• dans le contexte d’un marché inactif, les cotations des courtiers ne sont pas néces-
sairement représentatives de la juste valeur, lorsqu’elles ne sont pas le reflet de
transactions intervenant sur le marché ;
• la place des transactions forcées dans la détermination de la juste valeur.
Les transactions résultant de situations de ventes forcées n’ont pas à être prises en
compte pour la détermination de la juste valeur d’un instrument financier.
En période de marché illiquide, il n’est pas approprié de conclure que toute l’acti-
vité de marché traduit des liquidations ou des ventes forcées. Cependant, dans ces
mêmes conditions, il n’est pas non plus approprié de conclure que tout prix de tran-
saction observé est nécessairement représentatif de la juste valeur.
L’appréciation du caractère forcé d’une transaction repose sur l’exercice du jugement.
Notamment sur les prix de transactions observés sur un marché inactif. Les prix des
quelques transactions qui interviennent sur un marché inactif sont une donnée à
prendre en considération dans la valorisation d’un instrument financier, mais ne
constituent pas nécessairement une composante déterminante.
La détermination du caractère actif ou pas d’un marché, qui peut s’appuyer sur des indi-
cateurs tels que la baisse significative du volume des transactions et du niveau d’activité
sur le marché, la forte dispersion des prix disponibles dans le temps et entre les différents
© Groupe Eyrolles
intervenants de marché ou le fait que les prix ne correspondent plus à des transactions
suffisamment récentes, requiert, en tout état de cause, l’utilisation du jugement.
Enfin, les quatre autorités prennent acte de l’adoption par l’IASB, le 13 octobre 2008,
de la révision de la norme IAS 39 en vue de permettre le reclassement de certains
120 Partie 3 – La banque ou la compagnie d’assurances hors risque
Ce risque peut être prévu en utilisant des modèles de gestion de portefeuille tels que :
• la droite de marché (modèle de Modigliani et Miller) pour les portefeuilles à domi-
nante actions, modèle postulant que la rentabilité prévisionnelle d’une action dépend :
– de la rentabilité financière prévisionnelle du marché (mesurée par un indice
boursier),
– du risque exogène,
– du risque endogène de la société (évalué par l’effet de levier d’exploitation) ;
• le Modèle d’équilibre des actifs financiers (Médaf) pour les mandats de gestion
basés sur des actifs subordonnés à dominante obligation. Ce modèle considère que
chaque obligation émise par un groupe de droit privé doit proposer une prime de
risque complétant un rendement moyen observé sur le marché obligataire à risque
nul (garanti par l’État).
Reporting
Dans ce domaine les principaux risques à anticiper sont les suivants :
• erreur dans le reporting (relevés de performance) se traduisant par un préjudice ou
par une plus-value non fondée avec exercice de cette dernière pour le client ;
• retard de production du reporting lié, par exemple, à un dysfonctionnement des
systèmes d’information du gestionnaire.
La structure groupe doit être principalement organisée autour d’un directeur du risk
management. Ce dernier doit être placé sous l’autorité du comité des risques, qui est
responsable de la définition des standards méthodologiques du groupe d’assurances
concernant les principaux risques.
Ch. 3 – Le risk management dans les compagnies d’assurances 123
Ces risques se matérialiseront par une remise en cause de la responsabilité civile, par
des pertes financières et une perte d’image pour la compagnie d’assurances (risque
assurable pouvant être couvert par une police responsabilité civile professionnelle).
Erreur d’interprétation et de
Droit social, droit fiscal, droit des sociétés
qualification
RC mandataires sociaux
Faits générateurs
Infraction en matière bancaire et boursière
Infraction par rapport à la réglementation AMF
Délit de manipulation des cours
Délit d’initié
Délit de fausses informations
Erreurs dans la gestion de comptes bancaires, dans l’utilisation de services ou opérations de
caisse
Pratiques, pouvant mettre en péril la marge de solvabilité
de la compagnie ou l’exécution des engagements con-
tractés envers les assurés, sociétaires adhérents ou
ayants droit
Omission de transmission ou retard de transmission dans
le rapport joint au rapport de gestion des conditions de
préparation et d’organisation des travaux du conseil ainsi
que les procédures de contrôle interne mises en œuvre
(article 117, loi 1er août 2003)
Faute de gestion
Imprudence ou imprévoyance dans la gestion du patri-
moine social
Abstention fautive
Abus de biens sociaux
Responsabilité pour violation d’un texte
Violation de la loi
Violation des statuts sociaux
Infraction fiscale
Extension à directeur général délégué
© Groupe Eyrolles
Les conséquences d’un tel risque informatique physique seront les suivantes :
• pertes matérielles affectant le patrimoine informatique, quelle que soit sa qualifica-
tion juridique ;
• pertes d’exploitation liées à l’interruption de l’exploitation informatique (et donc
l’impact sera limité par la capacité de mettre en œuvre très rapidement le plan de
reprise informatique) ;
• responsabilité civile générée par les dommages immatériels causés aux clients et socié-
taires (incapacité de réaliser certaines transactions créant un préjudice à l’assuré) ;
• pertes humaines (en cas de décès affectant un salarié de la compagnie) ;
• risque informatique immatériel.
Ce risque est un risque majeur pour les compagnies d’assurances, compte tenu du
caractère exorbitant des frais de reconstitution des médias. De nombreuses compa-
gnies, en raison du caractère inacceptable de ce scénario, investissent de façon
majeure à titre préventif dans une deuxième salle d’exploitation ou signent des
© Groupe Eyrolles
Les conséquences d’un tel risque (pertes matérielles, pertes d’exploitation, pertes
humaines, coût de la responsabilité civile, impact sur l’image) seront d’autant plus
limitées que la compagnie aura décrit les processus critiques avant sinistre, qu’elle
aura modélisé et testé ses plans de continuité de l’exploitation.
© Groupe Eyrolles
L’ensemble de ce rapport d’activité est ainsi passé au crible par les analystes, le
marché étant sensible à tout écart de communication entre les prévisions et la
réalité (ce qui peut se traduire pour les groupes cotés par un profit warning).
D’autre part, la communication sur les différents produits est aussi excessi -
vement sensible surtout en ce qui concerne une éventuelle performance
annoncée portant sur les produits financiers gérés par mandats de gestion ou
portant sur les OPCVM. Tout décalage entre la performance prévisionnelle
prévue d’un point de vue contractuel et la performance réelle des actifs subor -
donnés peut se traduire par une éventuelle remise en cause de la responsabilité
civile de la compagnie d’assurances.
© Groupe Eyrolles
132 Partie 3 – La banque ou la compagnie d’assurances hors risque
© Groupe Eyrolles
Conclusion
es fondements du libéralisme économique ont toujours mis en évidence la mise
L sous contrôle du risque entrepreneurial.
Historiquement, le droit des sociétés a été conçu pour faciliter la croissance des
entreprises, tout en limitant le risque patrimonial de l’entrepreneur.
L’émergence d’un système économique néolibéral conforté par l’adoption du
référentiel de contrôle interne au sein de l’Union européenne a fait apparaître,
de la fin XIXe siècle au début du XXe siècle, la nécessité de mettre sous contrôle
aussi bien les risques de sinistralité (corporate risk management) que les risques
stratégiques (business risk management) en vue de protéger les objectifs décrits
dans le plan et la rémunération de l’actionnaire.
Les récents scandales financiers ont fait ressortir les insuffisances conceptuelles des
référentiels de contrôle interne (dont le COSO), ou les limites dans les modalités de
mise en œuvre.
L’efficacité des dispositifs de risk management, quant à elle, concernant les risques
tangibles (IARD, informatique), semble avérée, à la différence de l’efficacité de la
mise sous contrôle des risques immatériels (par exemple, du risque de fraude).
Reste une problématique majeure : la pertinence dans la réalisation des cartogra-
phies de risques et de l’actualisation de leurs contenus (comment s’assurer d’une
identification rationnelle et objective des risques significatifs pouvant affecter la
pérennité de l’entreprise ?). Reste aussi ouverte la question portant sur les leviers
d’action permettant d’augmenter l’efficacité du dispositif de risk management au
sein des groupes industriels, bancaires et d’assurances.
De notre point de vue, il s’avère nécessaire de remettre du bon sens dans l’action et
dans la décision, en arrêtant de se protéger derrière des méthodologies censées
permettre une couverture parfaite de ces risques. Il est nécessaire de renforcer
l’engagement des dirigeants dans la mise en œuvre d’un dispositif, qu’ils se doivent
de porter au titre de leur responsabilité entrepreneuriale.
Les préconisations du rapport Ricol vont dans ce sens, en prônant une augmenta-
tion de la responsabilité pénale des mandataires sociaux.
De même, l’allocation des fonds propres par métier, en fonction de la qualité de la
couverture des risques, semble être une priorité de la nouvelle réglementation que le
législateur envisage pour faire monter en puissance les dispositifs de risk mana-
gement des groupes cotés.
Nous espérons que cet ouvrage contribuera à redonner un sens à la construction
d’un dispositif de risk management au sein de votre entreprise.
© Groupe Eyrolles
© Groupe Eyrolles
ANNEXES
Annexes de la première partie
Société générale : une dépréciation de 7 milliards d’euros
La mauvaise nouvelle est tombée. Depuis plusieurs semaines, les rumeurs allaient
bon train sur les marchés. Des craintes plus que fondées puisque la Société générale
a révélé, jeudi 24 janvier 2008, qu’elle doit lever 5,5 milliards d’euros après la
découverte d’une fraude et le passage de nouvelles dépréciations d’actifs pour son
exposition aux subprimes. Daniel Bouton a présenté sa démission au conseil d’admi-
nistration de la Société générale, qui l’a rejetée et lui a renouvelé toute sa confiance
ainsi qu’à l’équipe de direction.
C’est un cataclysme pour le secteur bancaire français. Après des mois de messages
rassurants sur la solidité de son activité et sa faible exposition aux subprimes, la
Société générale avoue ce jeudi avoir été victime d’une fraude au sein de son acti-
vité de courtage qui se monte à 4,9 milliards d’euros, auxquels s’ajoutent 2 milliards
de dépréciations liées à la crise des subprimes, soit un total de 6,9 milliards d’euros,
un montant similaire à celui des banques américaines Citigroup ou Merrill Lynch.
Comme pour Calyon, la banque d’investissement du Crédit agricole, la Société
générale a été victime de l’exposition d’un trader courant 2007 et début 2008, en
charge d’activités de couverture de futures sur des indices boursiers européens. « Sa
connaissance approfondie des procédures de contrôle, acquise lors des précédentes
fonctions, lui a permis de dissimuler ses positions grâce à un montage élaboré de
transaction fictives », précise le groupe dans son communiqué.
Des déclarations qui laissent perplexes certains observateurs. Comment un seul
homme, Jérôme Kerviel, peut-il faire perdre autant d’argent à une banque qui,
depuis des années, a fait du contrôle des risques son cheval de bataille ? C’est à se
demander, estiment certains, si la Société générale ne profite pas de cet incident
pour cacher et masquer des problèmes bien plus importants sur sa prise de risques sur
les subprimes.
© Groupe Eyrolles
138 Annexes de la première partie
Prise de risques
Note
Critère Poids Note
globale
Total 30
© Groupe Eyrolles
140 Annexes de la première partie
Note
Critère Poids Note
globale
Vous appuyez-vous sur votre dispositif de
1 contrôle de gestion pour évaluer les sinistres 4
maximums possibles par centre de risque ?
Pour estimer les pertes matérielles, prenez-
2 vous en compte la valeur expertisée des 1
immobilisations mises sous contrôle ?
Pour estimer les pertes d’exploitation, vous
basez-vous sur la différenciation entre char-
3 2
ges fixes et variables au sein du compte de
résultat par centre de risque avant sinistre ?
Pour estimer les pertes humaines concernant
les salariés, vous basez-vous sur l’indemni-
4 1
sation a minima prévue par la Sécurité
sociale ?
Pour estimer les pertes humaines concernant
les salariés, vous basez-vous en deuxième
5 4
ligne sur les capitaux prévus dans la police
collective « décès invalidité » ?
Pour estimer le coût de la responsabilité
civile par scénario de crise, analysez-vous la
6 4
jurisprudence antérieure sur des cas
similaires ?
Pour estimer le coût de la responsabilité
civile par scénario de crise, et en l’absence
7 3
de jurisprudence antérieure, estimez-vous le
risque de façon qualitative ?
L’estimation des pertes d’exploitation prend-
8 elle en compte les modalités de back-up 3
identifiées en préventif ?
L’estimation des frais de reconstitution des
médias prend-elle en compte l’identification
9 4
des applicatifs critiques réalisés
préalablement ?
L’estimation des frais de retrait des produits
du marché, et/ou des frais de communica-
10 tion de crises associées, prend-elle en 4
compte les scénarii de retrait des produits du
© Groupe Eyrolles
marché anticipé ?
Total 30
Questionnaires risk management 141
Risque informatique
Note
Critère Poids Note
globale
Le risque informatique a-t-il été décrit à partir
1 du plan d’urbanisme/schéma directeur des 4
SI ?
Le risque informatique a-t-il été décrit à partir
2 1
de l’architecture réseau ?
Avez-vous construit une grille de scoring per-
3 2
mettant d’identifier les applicatifs critiques ?
L’efficacité du plan de reprise informatique
4 1
est-elle testée régulièrement ?
Avez-vous fait procéder à une certification
5 4
SAS 70 par un cabinet indépendant ?
Avez-vous souscrit une clause « frais de
6 4
reconstitution des médias » ?
Avez-vous souscrit une clause « frais supplé-
7 3
mentaires d’exploitation informatique » ?
Avez-vous souscrit une clause « extensions
8 3
risques informatiques » ?
Cette clause est-elle limitée à la criminalité
9 4
informatique externe ?
Les investissements de sécurité informatique
10 4
sont-ils testés régulièrement ?
Total 30
© Groupe Eyrolles
144 Annexes de la première partie
Description de la méthode
La construction du plan de reprise d’activité par centre de risque passe par :
• l’identification des processus critiques du centre de risque avant sinistre ;
• l’identification des actifs critiques (moules, plans, etc.) par visite de site avant sinistre ;
• l’identification des hommes clés via interviews avant sinistre ;
• l’identification des ressources logistiques critiques avant sinistre (heures-hommes,
heures-machines, m2, m3 disponibles avant sinistre en intragroupe) ;
• l’identification des sites de redéploiement des processus critiques sur les sites non
sinistrés du groupe disposant de ressources logistiques, ou la signature de contrats de
back-up avec des tiers (sous-traitants, fournisseurs, constructeurs informatiques) ;
• la définition des registres de communication de crise interne et externe associée à
ces plans de reprise d’activité.
Conditions de réussite
Réalisation d’interviews collectives en mode brainstorming.
Fiches associées
Modalités de quantification des pertes.
Description de la méthode
• Quantification des pertes matérielles par centre de risque : valeur expertisée de
l’immobilisation, quelle que soit sa qualification juridique × le pourcentage de des-
truction estimé de l’actif.
• Quantification des pertes d’exploitation : structuration du compte de résultat du
centre de risque avant sinistre en différenciant les charges variables et les charges
fixes. Il est aussi nécessaire de déterminer le nombre de jours nécessaires à la mise
en œuvre d’un plan de reprise dégradé.
© Groupe Eyrolles
Fiches méthodes risk management 145
Conditions de réussite
S’assurer de l’existence de compte de résultat analytique de centre de profit avant
sinistre.
© Groupe Eyrolles
Annexes de la deuxième partie
Extrait du rapport risk management du groupe EDF 2007
Politiques sectorielles de contrôle des risques
Contrôle des risques marchés énergies
La politique de risques marchés énergies, formalisée par la décision du président-
directeur général du 9 décembre 2005, codifie la gestion de ces risques pour le péri-
mètre d’EDF SA et des filiales contrôlées et précise l’ensemble du dispositif néces-
saire à sa mise en œuvre et au contrôle de son application. Pour les filiales régulées et
les filiales co-contrôlées, la politique de risques marchés énergies et le processus de
contrôle sont revus dans le cadre des instances de gouvernance de ces sociétés
(conseil d’administration, comité d’audit).
Cette note de politique décrit :
• le système de gouvernance et de mesure, séparant clairement les responsabilités de
gestion et de contrôle des risques et permettant de suivre ;
• l’exposition sur le périmètre ci-dessus défini ; les processus de contrôle des risques
impliquant la direction d’EDF SA en cas de dépassement des limites de risques.
À noter qu’un dispositif de contrôle renforcé est mis en place pour la filiale EDF
Trading.
Les objectifs de la politique de gestion et de contrôle des risques sont de :
• permettre l’identification et la hiérarchisation des risques dans tous les domaines en
vue d’en assurer une maîtrise de plus en plus robuste, sous la responsabilité du
management opérationnel ;
• permettre aux dirigeants et aux organes de gouvernance d’EDF SA d’avoir une
vision consolidée, régulièrement mise à jour, des risques majeurs et de leur niveau
de contrôle ;
• contribuer à sécuriser la trajectoire stratégique et financière du groupe ;
• répondre aux attentes et informer les parties prenantes externes sur les risques du
groupe et sur le processus de management de ces risques. Le périmètre de gestion
des risques comprend les activités d’EDF SA et celles des filiales contrôlées. Il ne
comprend donc pas les filiales régulées et les filiales co-contrôlées qui assurent la
gestion de leurs risques sous leur responsabilité respective.
Le périmètre de contrôle des risques est celui du groupe, à l’exception des partici-
pations. Ce contrôle est réalisé en direct pour le périmètre EDF SA et filiales contrôlées,
ou par le biais des organes de gouvernance pour les filiales régulées ou co-contrôlées.
© Groupe Eyrolles
D’une façon générale, la gestion des risques est de la responsabilité des entités opéra-
tionnelles et fonctionnelles, pour les risques qui relèvent de leur périmètre d’activité.
Le contrôle des risques est assuré par une filière mise en place en toute indépendance
148 Annexes de la deuxième partie
des fonctions de gestion des risques (complétée par des filières de contrôle spécifi-
ques notamment pour les risques marchés financiers et marchés énergies).
Cette filière assure notamment une approche homogène en matière d’identification,
d’évaluation et de maîtrise des risques.
Selon ces principes, chaque semestre, en cohérence avec les échéances associées à la
publication semestrielle des comptes consolidés, EDF élabore la cartographie conso-
lidée de ses risques majeurs pour le périmètre d’EDF SA et des filiales contrôlées et
co-contrôlées (à l’exception de Dalkia International).
Cette cartographie consolidée est réalisée à partir des cartographies établies par
chaque entité opérationnelle ou fonctionnelle sur la base d’une méthodologie
commune (typologie, principes d’identification, d’évaluation, de mise sous contrôle
des risques…).
Chaque risque identifié fait l’objet d’un plan d’action décrit.
Les risques majeurs sont placés sous la responsabilité d’un pilote désigné par le
TOP4.
La cartographie consolidée fait l’objet chaque semestre d’une validation par le TOP4
et d’une présentation au comité d’audit du conseil d’administration d’EDF SA. Elle
fait également l’objet d’échanges fréquents avec les états-majors des principales
directions contributrices et les membres de la filière « contrôle des risques ».
Le processus global de cartographie des risques constitue un support pour de
nombreux autres processus : notamment l’élaboration du programme d’audit, la
politique assurances et sa mise en œuvre, la documentation financière (notamment
le chapitre « Facteurs de risques » du document de référence AMF), l’analyse des
risques portant sur des dossiers examinés par les organes décisionnels d’EDF (TOP 4,
comité des engagements et des participations, CEP-dossiers combustibles, comité
amont-aval trading, etc.). Le processus de contrôle des risques contribue notamment
à la sécurisation du processus d’investissements et d’engagements long terme en
veillant au respect des principes méthodologiques d’analyse des risques pour les
dossiers présentés au comité des engagements et participations.
En complément, une politique de gestion de crise, dont la dernière actualisation a
été signée par le président-directeur général en juin 2005, est mise en œuvre sur le
périmètre d’EDF SA et des filiales contrôlées. Elle consiste notamment :
• à s’assurer de l’existence de dispositifs de crise pertinents, au regard des risques
encourus, dans chaque direction d’EDF SA participant à la gestion de la crise et
dans les filiales contrôlées ;
• à définir les modalités de coopération avec les filiales régulées en période de crise ;
• à vérifier la cohérence d’ensemble.
Un programme d’exercices de crise permet de tester régulièrement l’efficacité de ces
dispositifs et de capitaliser les retours d’expérience. Enfin, l’organisation de crise est
© Groupe Eyrolles
Contrôles spécifiques
Procédure d’approbation des engagements
Le comité des engagements et des participations (CEP), présidé par le directeur
général délégué finances, examine l’ensemble des engagements du groupe, hors filiales
régulées et filiales co-contrôlées, notamment les projets d’investissement, les projets de
cessions et les contrats long terme « combustibles ». Il valide tout investissement d’un
montant supérieur à 20 millions d’euros. Depuis la fin de mars 2003, les réunions du
comité sont systématiquement précédées d’une réunion où sont associés les experts du
niveau corporate (DCRG, DJ, DF…), afin de vérifier l’exhaustivité et la profondeur
des analyses de risques des dossiers présentés. Ces travaux s’appuient sur un référentiel
méthodologique d’analyse des risques des projets de développement qui intègre
© Groupe Eyrolles
La loi du 28 juin 2006 et son décret d’application du 23 février 2007 relatif à la sécu-
risation du financement des charges nucléaires imposent à l’entreprise de spécifier
dans un rapport les procédures et dispositifs permettant d’identifier, d’évaluer, de
gérer et de contrôler les risques liés à l’évaluation des charges nucléaires et à la
gestion des actifs de couverture. La première version du rapport, répondant aux
exigences de la loi, a été finalisée au mois de juin 2007 ; ce rapport comprend un
volet spécifique sur le contrôle interne et sa mise à jour se fera sur une base a minima
triennale, avec actualisation annuelle.
Dans les autres domaines (comme le contrôle des appareils à pression et la
surveillance des barrages), chaque entité est responsable de la définition et de la mise
en œuvre des procédures de contrôle adéquates.
Autres réglementations
Des contrôles sont également effectués sur l’application de la réglementation sociale et
du travail. La mise en place de systèmes de management, en particulier dans le domaine
environnemental et de la santé-sécurité, a permis d’obtenir un meilleur contrôle de
l’application de la réglementation et d’anticiper les évolutions réglementaires.
© Groupe Eyrolles
Annexes de la troisième partie
Risk management dans le secteur bancaire
Cartographie des risques opérationnels
Macro-risques Micro-risques
Immeubles et infrastructure générale
Rupture d’activité provoquée par des sinistres Incendies
Inondation
Autres catastrophes naturelles
Indisponibilité d’une ressource
Litiges
Autres causes
Technologie de l’information et communications
Dysfonctionnements provoqués par des sys-
Pertes accidentelles d’intégrité des données
tèmes informatiques
Erreurs de développement
Atteinte involontaire à la sécurité informatique
Défaillance d’un fournisseur informatique
Inadéquation des SI
Panne système, insuffisance, indisponibilité
passagère de ressources informatiques
Litiges
Autres
Relations avec le personnel et réglementation sociale
Relations Problèmes d’effectif, turnover excessif
Licenciements
Grèves
Hommes clés
Autres
Sécurité du travail Problèmes d’hygiène et de sécurité
Litiges
Non-conformité réglementaire
Discrimination Discrimination raciale
© Groupe Eyrolles
Discrimination sexuelle
☞
154 Annexes de la troisième partie
☞
Macro-risques Micro-risques
Supervision et réalisation des traitements
Saisie et traitement des transactions Erreurs humaines et involontaires
Non-respect ou mauvaise interprétation des
procédures
Déficiences dans les procédures
Inadéquation des SI aux activités et produits
Erreurs de règlement/livraison
Mauvaise gestion des référentiels
Litiges clients
Autres
Qualité de l’information et du reporting Inexactitude du reporting interne ou externe
Inexactitude des déclarations comptables et
réglementaires
Documentation clientèle Absence de documentation de décharge
Absence ou non-exhaustivité des documents
Légaux
Accès non autorisé aux comptes clients
Gestion des comptes clients Information donnée aux clients fausse
Dégradation des actifs clients
Relation avec les contreparties commerciales Erreur d’une contrepartie
Litiges avec les contreparties
Relation avec les fournisseurs Erreur ou défaillance d’un sous-traitant
Litige
Risque projet Insuffisance dans la conduite des projets de
changement
Relation clientèle produits et pratique commerciale/réglementation
Risque fiduciaire et lié aux obligations régle-
Problèmes dans la gestion collective d’actifs
mentaires dans la gestion d’actifs
Méthodes de vente inappropriées
Infraction aux règles fiduciaires
Informations fausses sur les caractéristiques
et performance des produits
Pratiques discriminatoires vis-à-vis de clients
Atteinte à la vie privée ou à la confidentialité
Violation du secret professionnel
Rotation excessive des comptes clients pour
générer des commissions
© Groupe Eyrolles
☞
Macro-risques Micro-risques
Relation clientèle produits et pratique commerciale/réglementation
© Groupe Eyrolles
Risk management dans le secteur bancaire 157
1 Gestion commerciale
Thèmes
Systèmes informatiques
transverses
Processus Ouvrir un compte
Documenter
les comptes clients
Maîtriser des délégations de pouvoir
et de signature
Gérer le référentiel client
© Groupe Eyrolles
☞
2 Vente par canal généraliste
Thèmes Fournir un support technique aux vendeurs
transverses
Systèmes informatiques
☞
Cotation des risques bruts
3 Vente par canal
Risque brut Impact Potentialité
spécialiste
Calculé Modifié Global F I R
Thèmes Assurer la synthèse client
transverses
Maîtriser les techniques pointues
Systèmes informatiques
Processus Produits de marchés et dérivés
Gestion de trésorerie et ingénierie des flux
Monétique et espèces grand commerce
Produits de trade finance
Fusions-acquisitions
© Groupe Eyrolles
Risk management dans le secteur bancaire 161
Démenti de rumeurs
La Société générale dément formellement les rumeurs malveillantes lui imputant des
pertes significatives sur son activité de produits structurés au cours des derniers jours,
nécessitant une recapitalisation de la banque, et annonce qu’elle demande à l’AMF
d’enquêter sur ces rumeurs et leurs conséquences sur le cours de son titre, comme
elle en a le pouvoir en application de l’article 631-4 de son règlement général.
Société générale
Société générale est l’un des tout premiers groupes de services financiers de la zone
euro. Avec 151 000 personnes dans le monde, son activité se concentre autour de
trois grands métiers :
• Réseaux de détail & services financiers, qui comptent plus de 30 millions de
clients particuliers en France et à l’international.
• Gestions d’actifs & services aux investisseurs, où le groupe compte parmi les prin-
cipales banques de la zone euro avec 2 733 milliards d’euros en conservation et
381,4 milliards d’euros sous gestion à fin juin 2008.
• Banque de financement & d’investissement, Société générale Corporate & Invest-
ment Banking se classe durablement parmi les leaders européens et mondiaux en
marché de capitaux en euros, produits dérivés et financements structurés.
☞
Définir et contrôler les délégations internes
Vérifier le respect des obligations statutaires et légales
Préparer et tenir les réunions du comité d’audit et du comité des risques
Établir les comptes rendus des réunions des organes de gouvernance
Assurer les dépôts de publicité légale
Autres obligations légales et réglementaires
Établir le rapport annuel sur le contrôle interne et le risk management
Piloter la communication financière vers les stakeholders
Piloter la communication financière vers les actionnaires individuels
Autres zones géographiques à l’international
Piloter la conformité avec les autres réglementations sur le contrôle interne « Sarbanes-
Oxley » pour la zone Amérique du Nord)
Piloter la stratégie groupe
Groupe
Décliner les objectifs du groupe et définir les business plans
Cadrer les objectifs de la société mère
Déterminer les objectifs globaux et par entité du groupe
S’assurer de la mise en œuvre des objectifs sur les zones géographiques et unités d’affaires
Anticiper l’atteinte des objectifs
Réviser les objectifs globaux
Filiales et sociétés affiliées étrangères
Décliner les objectifs et définir les prévisions d’activité
Valider le plan stratégique de chaque filiale étrangère et consolider
Apprécier les projets stratégiques proposés par les filiales et sociétés affiliées + co-entrepri-
ses
S’assurer de la mise en œuvre des objectifs
Élaborer le reporting des filiales et des sociétés affiliées + co-entreprises
Revoir la mise en œuvre du plan stratégique
Superviser la communication
Définir les objectifs de communication groupe
Communication interne
© Groupe Eyrolles
☞
Définir les stratégies de communication par canal
Définir le plan d’action de communication (par média et par cible)
Mettre en œuvre la communication
Communication interne
Assurer la veille, la collecte d’informations
Apprécier la pertinence de la communication avec les objectifs du groupe
Concevoir, vérifier et valider les informations
Réaliser les actions de communication (mix promotion)
Mesurer l’efficacité de la communication
Communication externe
Assurer la veille et analyser les résultats (tableaux de bord commerciaux)
Concevoir les actions de communication et l’alignement avec les objectifs
Formaliser et valider les actions de communication
Mettre en œuvre les actions de communication
Établir un reporting des actions de communication (efficacité)
Sponsoring, mécénat et fondations
Définir les objectifs et le plan d’action du mécénat et sponsoring
Mettre en œuvre le plan d’action du mécénat et sponsoring
Processus de support
Superviser les ressources humaines
Gestion prévisionnelle des emplois et compétences
Estimer les effectifs
Gérer la bourse de l’emploi et la mobilité internationale
Assurer la mobilité et le recrutement externe
Superviser la formation (collective, individuelle)
Piloter la masse salariale et les avantages au personnel
Gérer un outil d’évaluation de performances et compétences
Superviser les parcours professionnels des salariés et les mutations
Assurer la gestion administrative, statutaire des salariés
© Groupe Eyrolles
☞
Administrer les frais de mission
Gérer le personnel en CDD, intérim et stagiaires, expatriés
Assurer la médecine de prévention et du travail
Coordonner les relations sociales et les structures de contre-pouvoir
Piloter les entités de gouvernance
Négocier les conventions, les accords d’entreprise
Conseiller dans le domaine des affaires sociales et le droit du travail
Piloter la conformité juridique et fiscale
Piloter la veille juridique et la sûreté juridique
Suivre l’évolution de la réglementation
Interpréter la législation et la traduire en règles de management
Respecter les exigences réglementaires et contractuelles (conventions)
Connaître et diffuser les obligations réglementaires intragroupe
Traiter les demandes des différentes entités du groupe
Répondre aux demandes officielles et arbitrer
Coordonner les engagements contractuels
Gérer les engagements contractuels des assurés
Superviser les engagements contractuels vis-à-vis des prescripteurs
Gérer les engagements contractuels vis-à-vis des sociétaires / des assurés
Gérer les engagements contractuels vis-à-vis des autres prestataires / parties liées
Gérer les engagements contractuels vis-à-vis des salariés
Coordonner les litiges
Prévenir les litiges (médiation et précontentieux)
Piloter les litiges (médiation et précontentieux)
Gérer le contentieux
Provisionner les dossiers (IAS 37)
Analyser les résultats (reprise sur provisions)
Exploiter les systèmes d’information
Organiser l’évolution du système d’information
Décliner la stratégie de l’entreprise en matière de SI
© Groupe Eyrolles
☞
Recenser les besoins des métiers et faire un premier arbitrage
Appliquer les règles de contrôle interne sur les projets informatiques
Piloter les projets migration des SI et ERP/PGI
Gérer les relations avec les SSII tiers et l’infogérance
Prévenir les situations de crise informatique et simuler les plans de reprise d’activité informatique
Développer et livrer des applicatifs informatiques
Étudier la demande de la maîtrise d’ouvrage
Faire des études de faisabilité
Piloter la phase de conception générale
Piloter la phase de conception détaillée
Paramétrer
Réaliser les tests d’intégration/recette technique
Valider la solution
Procéder aux tests de recettes
Passer en phase de production
Fonctionner en parallèle
Mettre en production la solution
Réaliser le bilan de projet/bilan de mise en production
Suivre le project office
Gérer les ateliers transverses (reprise des données, etc.)
Mettre en œuvre la conduite du changement
Gérer la qualité et le contrôle interne du projet
Gérer le fond documentaire projet et applicatif
Exploiter les systèmes d’information en interne et en externalisation/délocalisation
Définir et gérer un niveau de service
Gérer les performances et capacité
Assurer une continuité de services
Assurer la sécurité des systèmes au niveau immatériel
Garantir la sécurité physique des installations
Gérer les données, apurer les bases
© Groupe Eyrolles
☞
Gérer les moyens transverses
Gérer les achats et le renforcement fournisseur
Définir et analyser les besoins de l’entreprise
Gérer le panel des fournisseurs potentiels et gérer les consultations
Réaliser/renouveler les appels d’offres
Gérer la relation client/fournisseur actuel
Gérer les moyens généraux
Téléphonie, standard, réservation visioconférence
Définir et analyser les besoins/les demandes – calcul de ROI
Engager les commandes et suivre les dépenses
Gérer les moyens matériels
Maintenance
Définir et analyser les besoins et les demandes
Engager les commandes et suivre les dépenses dans l’ERP
Gérer les moyens matériels
Assurer la sécurité des biens et des personnes
Zone Union européenne
Assurer la sécurité opérationnelle
Assurer la sécurité par anticipation
Autres zones géographiques à l’international
Assurer la sécurité opérationnelle des expatriés
Gérer la comptabilité financière
Suivre et intégrer la réglementation comptable
Effectuer la veille réglementaire, participer aux principales instances
Interpréter les normes et les avis techniques comptables (IFRS, US GAAP)
Définir les schémas comptables autorisés et les intégrer dans les systèmes
Tenir la comptabilité (au fil de l’eau ) hors cut-off
Administrer les référentiels comptables IFRS et US GAAP
Mettre à jour/diffuser les procédures comptables IFRS et US GAAP
Domaine assurances individuelles de personnes
© Groupe Eyrolles
☞
Domaine assurances collectives co- et réassurance
Passer les écritures comptables (manuelles)
Domaine assurances collectives
Passer les écritures comptables (manuelles)
Domaine Opex/charges d’exploitation
Passer les écritures comptables (manuelles)
Passer les écritures comptables (semi-automatiques)/classe 9-6
Domaine immobilier et participations non cotées
Passer les écritures comptables (manuelles)
Passer les écritures comptables (semi-automatiques) – apurement de charges
Effectuer les contrôles comptables et le contrôle interne associé
Contrôles des flux (déversements) / administratif des flux
Contrôler les comptes de bilan
Suivre le budget (contrôle de gestion) – réviser le budget
Collecter et contrôler les données
Préparer les états du budget et effectuer les actions correctrices en conformité avec la direc-
tive Transparence
Réaliser et formaliser les analyses
Répondre aux demandes d’explications et d’informations
Analyser les résultats (comptabilité analytique) – analyse d’écarts
Collecter et contrôler les données
Préparer les états d’analyse et effectuer les actions correctrices
Réaliser les analyses et répondre aux demandes ponctuelles
Arrêter les comptes et gérer le projet Fast Close
Domaine assurances individuelles
Intégration des données de gestion et interprétation
Justification et ajustements des comptes
Établissement et comptabilisation des écritures d’inventaire
Analyse et comptabilisation des écritures finales et administration de flux
Intégration des données de gestion
Justification et ajustements des comptes (test Impairment)
© Groupe Eyrolles
☞
Immobilier d’investissement (IAS 40)
Participations non cotées
Élaboration du dossier de clôture (arrêtés de comptes)
Domaine frais et charges communes
Saisie des factures et provisions
Salaires, logiciels et dotations aux amortissements
Refacturations intragroupe
Ajustements comptables des frais généraux du périmètre Union européenne
Arrêté des frais généraux
Ventilation des charges corporate
Répartition analytique en méthode ABC (comptabilité par activité)
Détermination du chiffre d’affaires partenaire / reconnaissance du CA (IAS 18)
Détermination des provisions et des comptes techniques
Réassurance/coassurance technique et financière
Production financière et contrôle du résultat
Domaine consolidation
Travaux préparatoires à la consolidation IFRS – US GAAP
Intégration des données
Retraitement consolidation, annulation Interco
Édition des états de synthèse consolidés et des annexes
Réaliser les déclarations fiscales, impôts différés
Collecter les informations et les données
Calculer l’assiette et l’impôt et effectuer les ajustements
Établir les déclarations fiscales et les liasses fiscales
Payer l’impôt (acomptes + solde)
© Groupe Eyrolles
Risk management dans les compagnies d’assurances 171
Processus opérationnels
Concevoir et suivre les produits
Comprendre et analyser les besoins
Zone Union européenne
Étudier le marché et le comportement des consommateurs
Identifier les besoins des consommateurs
Identifier les besoins du distributeur
Évaluer les enjeux pour l’assureur
Concevoir l’offre
Formaliser l’offre d’un produit d’assurance
Réaliser l’étude d’opportunité commerciale
Réaliser l’étude de faisabilité
Élaborer la tarification (individuelle & collective)
Étudier la rentabilité (individuelle & collective) – ROI
Faire valider le produit par les autorités de gouvernance (individuel & collectif) – AMF
Élaborer les nouveaux produits ou customiser les produits existants
Rédiger la fiche produit et les documents contractuels – individuel & collectif
Finaliser la tarification – conditions de réassurance – individuel & collectif et co-assurance
Obtenir les autorisations réglementaires – individuel & collectif
Test commercial et enquêtes clients sur les nouveaux produits – individuel
Élaborer la communication client – individuel & collectif
Élaborer le cahier des charges du produit – individuel & collectif
Mise en gestion et recettage/industrialisation de l’offre
Recetter les applications – activer les frais de développement
Mettre en exploitation
Produire sous contrôle
Exploiter les systèmes
Distribuer les produits
Définir les objectifs annuels et formaliser les plans de déploiement
Négocier les objectifs de vente avec le partenaire
© Groupe Eyrolles
☞
Animer les réseaux commerciaux (agents généraux)
Vendre et suivre la réalisation des objectifs
Vendre au partenaire
Suivre les résultats
Déterminer les actions correctrices
Assurances individuelles
Définir les objectifs annuels et formaliser les plans de déploiement
Négocier les objectifs de vente avec le partenaire
Valider les actions commerciales avec le partenaire
Mettre en œuvre le plan d’action commercial
Réaliser les outils d’aide à la vente
Réaliser les supports marketing + mix marketing
Faire souscrire et émettre le contrat
Retranscrire les informations client
Saisir et valider la souscription
Contrôler les documents contractuels et administratifs
Contrôler le dossier d’adhésion ou de souscription
Saisir et émettre les documents
Traiter les anomalies, les cas exceptionnels incured but not reported (IBR)
Archiver les documents du dossier d’adhésion/souscription
Appeler et encaisser les primes/cotisations
Encaisser les primes et régulariser les impayés
Encaisser les primes
Appeler les primes de versements réguliers
Encaisser les primes
Traiter les impayés et recouvrer les primes
Affecter les versements
Suivre la vie du contrat
Enregistrer les modifications de nature administrative
Enregistrer les modifications de nature contractuelle
© Groupe Eyrolles
☞
Gérer l’adossement actif/passif
Définir les stratégies financières
Gérer les limites par émetteur et le risque crédit groupe
Gérer la trésorerie et les portefeuilles financiers
Maîtriser le niveau de trésorerie
Passer les ordres sur les portefeuilles long terme
Gérer les placements de trésorerie
Gérer les garanties annexes
Adossement actif/passif des UC (unités de crédit)
Gestion postmarché
Valoriser
Suivis particuliers
Comptabiliser et calculer les résultats des portefeuilles
© Groupe Eyrolles
174 Annexes de la troisième partie
☞
Créer les produits et les suivre
☞
Contrôler la gestion
sur les fonds, informer
Contrôler les opérations
réalisées par les
gérants/gestionnaires
Pré-valider les VL (Valeurs liquidatives)
Contrôler et suivre la trésorerie
Contrôler les opérations initiées par les gérants/gestionnaires
Contrôler les délégations financières
Contrôler et suivre le risque de contrepartie
Suivre les ratios statutaires
Réaliser les opérations diverses
Suivre les interfaces SI et l’administration des flux
Gérer les rétrocessions de com-
missions sur OPCVM externes
Gérer les rétrocessions de commission
Réaliser les reportings
sur les OPCVM gérées
Contrôler et suivre les données financières - référentiel et
reporting périodique IFRS/Domestic GAAP/US GAAP
Réaliser le reporting mensuel IFRS/Domestic GAAP/US GAAP
Réaliser l'information aux porteurs de parts (performance des
portefeuilles)
Gérer les conseils de sur-
veillance (CS)/CA (Conseil
d’Administration)
Gérer les membres des CS/CA
Gérer les plannings et les convocations des CS/CA – Secrétariat
des Sociétés
Établir dossier présenté au CS/CA
Gérer les présences aux CS/CA
Archiver les procès-verbaux (PV) des CS/CA
Suivre les mises en œuvre des décisions CS/CA
Réaliser les reportings
sur les mandats
Contrôler et suivre les données financières - référentiel et repor-
ting périodique en conformité IFRS/Domestic GAAP/US GAAP
Contrôler et suivre le risque de contrepartie
© Groupe Eyrolles
☞
Gérer la comptabilité
des OPCVM
Gérer les opérations
comptables sur OPCVM
Création de portefeuille
Valoriser les OPCVM (et définir règles et méthodes de valorisa-
tion), suivre l'équilibre du nombre de parts en conformité IAS
39 révision d’octobre 2008
Établir les documents périodiques réglementaires en conformité
IFRS 7
Suivre a posteriori les ratios réglementaires Solvency 2
Contrôler les erreurs de valorisation/IAS 39/tests de dépréciation
Gérer les fonds garantis
Réaliser le suivi des différentes
rémunérations
Gérer les commissions de mouvement sur OPCVM
Gérer les frais de gestion variables sur OPCVM
Gérer les rétrocessions
sur OPCVM
Réaliser les tâches liées au pilo-
tage
Définir l'ensemble des activités liées au pilotage
Gérer les différentes tâches liées au pilotage
Gérer les fusions absorp-
tions OPCVM
Organiser le contrôle opération-
nel
Définir l'organisation et les missions du contrôle opérationnel
Présenter les outils de suivi et tableaux de bord intégrant les KRI
Gérer les RH et les relations
sociales
Gérer les collaborateurs
Déontologie, MIF/compétences et implication
Gérer les détachements et rémunérations
Décrire les fonctions
spécifiques liées aux mandats
de gestion/gestion d’actifs
Gérer la réglementation
© Groupe Eyrolles
juridique et fiscale
Gérer les agréments AMF- créa-
tion OPCVM, mutation OPCVM, Gérer les relations avec le régulateur
changements d'acteurs
Réaliser le suivi (dépositaire...)
☞
178 Annexes de la troisième partie
☞
Assurer la veille réglementaire Organiser le lobbying
Gérer les conseils
Vérifier le niveau de compétences des membres
de surveillance
Réaliser les procès-verbaux des CS/CA
Suivre le programme d'activité, les données légales, supervi-
ser le secrétariat des sociétés
Gérer les systèmes d’infor-
mation (SI)
Gérer les applications SI Monter en puissance les releases
Gérer les demandes d’évolu-
Coordonner l’analyse fonctionnelle
tions SI
Gérer les interfaces entre SI Synchroniser les interfaces
Gérer la sécurité des applica-
Tester les règles de sécurité applicative
tions
Gérer le Plan de secours infor-
Tester les plans de reprise d’activité informatique
matique
Gérer la comptabilité
et les finances
Assurer la gestion comptable
Définir les règles comptables IFRS/Domestic GAAP/US GAAP
Gérer la comptabilité financière
Arrêter les comptes et réaliser les bilans en intégrant la direc-
tive transparence
Réaliser les documents d'information réglementaires
Suivre et gérer la trésorerie
Suivre et gérer les fonds propres IFRS 7
Réaliser les rapprochements bancaires
Gérer les acomptes sur dividendes
Gérer les fournisseurs
Gérer la facturation des fournisseurs
Gérer la comptabilité
et les finances
Gérer les budgets et les busi-
ness plans
Élaborer le budget (charges et ressources) en conformité avec
la directive transparence
Suivre les budgets, réaliser les analyses (notamment définir les
règles d'analyses et les critères), les intégrer dans le dispositif
© Groupe Eyrolles
de communication financière
Gérer les rétrocessions
sur OPCVM externes
Risk management dans les compagnies d’assurances 179
Biens assurés
Tout matériel informatique
Logiciel, progiciels
Garantis au repos, en activité
Faits générateurs garantis
Incendie, explosion
Dommages électriques, électroniques
Bris de machine
Dégâts des eaux
Tempêtes, ouragans
Catastrophes naturelles
Chutes, heurts
Grêle, gel
Tremblement de terre
Grèves, émeutes
Chutes d’aéronefs
Franchissement mur du son
Malveillance délibérée
Sabotage
Contamination virale
Vol, intrusion, effraction
Utilisation fausses clés
Maladresse, négligence
Utilisation non autorisée de ressources informatiques interne/externe
☞
© Groupe Eyrolles
180 Annexes de la troisième partie
☞
Clauses TRI et ERI
Pertes financières générées par un dommage matériel et/ou immatériel
Informatique
Frais de reconstitution d’archives
Frais de reconstitution des médias
Frais supplémentaires d’exploitation informatique
Location d’un ordinateur de remplacement
Frais de communication de crise interne et externe liée au plan de survie
Extension risques informatiques
Garantie pertes de fonds affectant les comptes de la classe 5 (VMP, CCP, banque)
Caisse, régies d’avances, virements internes, provision des dépréciations de VMP
Jeux d’écritures illicites en cas de détournement
Virements effectués pour le compte de clients en cas d’acte de malveillance
Paiement des agios bancaires
Paiement des loyers restant à couvrir si recours à la location financement
© Groupe Eyrolles
Risk management dans les compagnies d’assurances 181
☞
Non-conformité des visites de site réalisées par l’AMF dans le cadre du contrôle des portefeuilles
Erreur de constitution de dossier ou non-respect des délais dans la procédure d’agrément
AMF en termes de création d’OPCVM
Avertissement, blâme, interdiction temporaire ou définitive d’une partie ou de la totalité des activités
Sanctions pécuniaires du conseil de discipline des OPCVM
Erreur ou retard de publication dans la production de la valeur liquidative
Erreur de transmission dans l’identification des acteurs
Erreur de transmission dans la caractérisation en cas de changement de structure de l’OPCVM
Déclaratif des autres métiers du groupe combiné
Activité d’assurance et de réassurance
Activité d’ingénierie et de prévention des risques
Activités de courtage d’assurance ou de réassurance
Activités immobilières
Prestations de services informatiques
Prestations de services logistiques
Gestion épargne salariale
Activité de gestion de portefeuille et de placement
Production et négoce en vin
Crédit-bail immobilier
Protection juridique
Recouvrement de créances
Assistance et information
Multiservices pour particuliers
Aide aux personnes handicapées
Gestion de centres sportifs
Remise d’objets publicitaires
Activités annexes connexes et/ou complémentaires
Soins médicaux
© Groupe Eyrolles
Risk management dans les compagnies d’assurances 183
AXA réalise une part importante de ses activités sur des produits en unités de
compte pour lesquels la majorité des risques financiers est supportée directement par
les assurés (la valeur pour l’actionnaire reste, néanmoins, sensible à l’évolution des
marchés financiers).
© Groupe Eyrolles
Bibliographie
Autres auteurs
Blinn (James D.), Elliott (Michael W.), Head (George L.), Essentials of Risk Finan-
cing, volume II, Insurance Institute of America, 1993.
Bon-Michel (Béatrice), Chapoteau (Georges), Contrôle interne bancaire, Editea, 2008.
Chelly (Dan), Jimenez (Christian), Merlier (Patrick), Risques opérationnels, Revue
Banque, 2008.
Mekouar (Richard), Veret (Catherine), Fonction : risk manager, Dunod, 2005.
© Groupe Eyrolles
187
N° d’éditeur : 3863
N° d’imprimeur : xxxxxxx
Dépôt légal : Mai 2009
Imprimé en France